紫狐(Purple Fox)

黑产领域 Rootkit 技术的佼佼者

紫狐组织是已经存在多年的、以营利为目的的网络黑产组织。每年，该黑产组织都会改变自己的攻击方式并升级其藏匿手法。

该组织成员通过控制大量受害终端，利用垃圾软件、流量推广等手段来实现盈利目的。由于该组织的恶意程序使用了Rootkit技术，因此其往往具备高隐蔽性，使受害用户难以发现或清除。

2018年，紫狐组织首次被观察到。

2019年，紫狐组织曾使用NSIS（Nullsoft Scriptable Install System）和Rig漏洞利用工具包传播病毒，随后转向使用PowerShell实现无文件执行以达到更隐蔽的目的。

2020年，紫狐组织利用了CVE-2020-0674（IE远程代码执行漏洞）、CVE-2018-8120和CVE-2020-1054（Win32k.sys提权漏洞），并采用DLL白加黑的方式绕过杀软防护来攻击受害用户。

然而，紫狐组织的攻击目标不仅限于普通用户，他们早已向工业用户群体伸出了魔爪。

2022年，威斯尼斯人wns2299cn安全研究团队检测到某热轧厂客户单位的II区实时数据库服务器遭受了非预期的异常攻击。经信息安全工程师的检测确认，这一事件为紫狐Rootkit导致。

紫狐(Purple Fox)

钓鱼攻击&供应链攻击？

上文说到，2022年，威斯尼斯人wns2299cn安全研究团队监测到紫狐（Purple Fox）僵尸网络通过伪装 Telegram 安装程序释放 Rootkit 的攻击事件。

而2023年11月，安全研究团队再次监测到疑似紫狐团伙的足迹——针对FinalShell用户群体的钓鱼攻击。

FinalShell是一款一体化的的服务器，不仅内置ssh客户端，还是一款功能强大的开发、运维工具，目前该软件颇受用户欢迎。

钓鱼网站地址：https://finalshell.org/

钓鱼网站首页：

whois信息如下：

目前该钓鱼站点已被标记为恶意地址

安全研究团队将此次恶意样本下载到本地进行分析，钓鱼样本下载信息如下：

利用binwalk工具查看恶意样本信息，查询结果如下：

binwalk -e finalshell_install.exe.00 --run-as=root

该病毒采用自解压试部署，即sfx:winRAR 样本包含如下两个安装包：

其中install.exe为finalshell安装包，install_8.exe 则是伪装成图书馆管理系统的恶意软件。

样本install_8.exe 信息如下：

安全研究团队利用ida对该恶意样本分析，分析结果如下：

① 0044C190 main主函数大致有如下功能：

② sub_44C000(v13)函数跟进后，研究人员发现该函数实则判断xiaomum.lnk文件是否存在，这也关系到该受害者是否已经被感染，以确定后续阶段的攻击。

③ sub_44C020(szUrl, FileName) 函数，实则为下载第一阶段的3.txt恶意文件，该文件会被映射到系统内存内执行，而后将install_8.exe从temp目录复制到C:\ProgramData\Micros 目录下，同时将其随机命名，并设置文件隐藏属性防止用户发现并清除，同时在本地留下xiaomum.lnk快捷方式文件，并远程访问恶意服务器来下载4.txt文件进行第二阶段的攻击行为。

④ LPCSTR lpszUrl 内容发现恶意地址，目前该地址已经无法下载恶意文件，但是仍然存活，第一阶段攻击成功后，受害者机器依然会与该恶意地址的201端口产生通信行为，这说明攻击并没有被停止，依旧有死灰复燃的风险。

⑤ shell.ini文件内容如下，该文件的作用实则配合3.txt ，使受害者与攻击者产生通信行为，方便后续攻击者对受害者的监控：

⑥ 运行样本后，第一阶段的注册表变化如下：

本地文件变化如下：

[新建]

Users\ADMINI~1\AppData\Local\Temp\install.exe

[新建]

Users\ADMINI~1\AppData\Local\Temp\install_8.exe

[新建]

ProgramData\SHELL.ini

[新建]

Users\Administrator\AppData\Local\Microsoft\Windows\WER\ReportArchive\AppCrash_install_8.exe_2df44b14b7b549db7fd162b21632ddc8e11b49c_08b7fbfe

[新建]

Users\Administrator\AppData\Local\Microsoft\Windows\WER\ReportArchive\AppCrash_install_8.exe_2df44b14b7b549db7fd162b21632ddc8e11b49c_08b7fbfe\Report.wer

初步判断与ida分析结果吻合，故得出如下结论：

恶意样本在安装的时候会先判断C:\ProgramData\Micros\xiaomum.lnk是否存在，如果不存在，便会访问http://107.148.48.35:35/3.txt ，将3.txt文件存放在C:/ProgramData/3.txt。

而后恶意程序会将3.txt通过映射的方式映射到内存中并执行，执行成功后会在

C:\ProgramData\Micros\ 目录下生成随机命名的exe程序，该程序和install_8.exe实际为相同文件，该文件会设置系统隐藏属性，使受害用户无法查看文件，同时会在该目录下生成快捷方式xiaomum.lnk文件、4.txt文件。

同时受害者机器会与恶意地址产生通信：

紫狐(Purple Fox)

紫狐(Purple Fox)——快速排查

排查C:\ProgramData 文件夹下是否存在SHELL.ini 、 3.txt文件:

排查C:\ProgramData\Micros 文件夹是否存在，4.txt、xiaomum.lnk文件是否存在

排查是否与107.148.48.35 网络地址存在通信

排查

C:\Users\Administrator\AppData\Local\Temp 是否存在以下文件

此次对紫狐Rootkit的讲述就到这里，但安全研究的路没有终点。威斯尼斯人wns2299cn安全研究院专注工控协议和安全漏洞库研究，具备持续性的工业协议分析能力、漏洞挖掘能力以及病毒处理、灾后数据恢复能力，为国家多个管理机构提供漏洞上报和预警信息上报。

成立至今，已分析过200个以上的工控漏洞，挖掘出艾默生DCS、西门子PLC、VxWorks等多款设备的0Day漏洞，上报国家工业信息安全漏洞库（CICSVD）原创通用型漏洞百余个，国家信息安全漏洞库(CNNVD) 原创通用型漏洞百余个。

威斯尼斯人wns2299cn工控漏洞库维护着数千个工控漏洞及工控漏洞利用代码和扫描指纹，近千种各工控设备厂商产品信息。威胁情报库、安全事件知识库数量110万余条；维护着数百种工控固件/软件版本识别指纹。曾获国家信息安全漏洞库（CNNVD）-二级技术支撑单位、国家信息安全漏洞库（CNNVD）年度优秀技术支撑单位、2021年度国家工业信息安全漏洞库技术支持组成员单位、工业信息安全应急服务支撑单位（NISIA）、工业信息安全监测预警网络建设-CICS-CERT支撑单位等。

目前，威斯尼斯人wns2299cn提交的工业和信息化部网络安全威胁和漏洞信息共享平台通用网络产品安全漏洞库的漏洞中，有数十项漏洞已被收录，包括超危、高危、中危漏洞。未来，威斯尼斯人wns2299cn将继续加强对网络产品安全的研究与监测，不断完善漏洞信息共享平台，提升网络安全防护能力，让人们在数字世界中更加安心地工作和生活，为构建更加安全可靠的数字化社会作出更大贡献。