Что такое вредоносное ПО Purple Fox и как оно может распространяться на Windows?

Purple Fox возник в 2018 году как бесфайловый троян-загрузчик, поставляемый с помощью набора эксплойтов, который заразил более 30 000 устройств.

Исторически сложилось так, что для заражения устройств требовалось какое-то взаимодействие с пользователем или сторонние инструменты, и он распространялся в основном с помощью фишинга или наборов эксплойтов. Однако это вредоносное ПО недавно воскресло и превратилось в Windows-червя.

Итак, на какой тип устройств Windows нацелена Purple Fox? Как мы можем защитить себя?

Вновь изобретенная пурпурная лиса

Разработчики Purple Fox перенастроили эту вредоносную программу, добавив модуль червя. Атака инициируется фишинговым письмом, доставляющим полезную нагрузку червя, который автоматически сканирует и заражает системы на базе Windows.

Этот новый вектор может использовать атаку методом перебора для доступа к системе путем простого сканирования уязвимых портов. Как только целевой порт найден, Purple Fox проникает в него и распространяет инфекцию.

Ведущая исследовательская организация по кибербезопасности, Guardicore Labs подтверждает, что действительно был обнаружен новый вариант червя Purple Fox.

Как Purple Fox заражает устройства?

Ведущие отраслевые эксперты считают, что вредоносная программа Purple Fox добавила новую технику распространения, которая использует атаки методом грубой силы SMB для заражения компьютеров. Этот новый вариант Purple Fox работает, сканируя открытые порты компьютеров с Windows, подключенных к Интернету, с помощью недостаточно надежных паролей.

Подбирая слабые пароли для учетных записей пользователей Windows через SMB – часть машины, которая позволяет Windows взаимодействовать с другими устройствами, такими как файловые серверы и принтеры, – вредоносная программа проникает в уязвимое устройство.

Как только Purple Fox получает доступ к цели, он незаметно устанавливает руткит, который скрывает вредоносное ПО внутри устройства, что затрудняет его обнаружение. Затем он генерирует список IP-адресов и сканирует Интернет на предмет устройств, подверженных риску, для дальнейшего заражения, создавая таким образом постоянно растущую сеть уязвимых устройств.

Какие типы устройств на базе Windows подвержены риску?

Отличительной особенностью новой вредоносной программы Purple Fox является то, что она нацелена на машины под управлением операционной системы Microsoft Windows и перепрофилирует взломанные устройства для размещения вредоносной программы.

В настоящее время вредоносное ПО Purple Fox используется для распространения кражи информации, крипто-майнеров, программ-вымогателей и троянов.

По данным Guardicore Labs, большинство уязвимых устройств работают под управлением более старых версий Windows Server с Internet Information Services (IIS) версии 7.5 и Microsoft FTP и серверов, использующих Microsoft RPC, Microsoft Server SQL Server 2008 R2 и Microsoft HTTP API httpd 2.0, а также Терминальная служба Microsoft.

Как защитить себя от нападения лиловой лисы

Вот несколько рекомендаций, которые помогут вам держаться подальше от Purple Fox.

Наблюдайте за индикаторами взлома (IoC)

Инвестиции в судебную экспертизу данных и изучение публичных индикаторов компрометации могут стать первым шагом в борьбе с атакой Purple Fox.

Большинство инструментов безопасности уже имеют IoC, встроенные в их платформы, и, не отставая от последних IoC, вы можете легко обнаружить утечки данных и заражение вредоносным ПО.

Лаборатории Guardicore также выпустили публичный список IoC в отношении угрозы Purple Fox и призывали профессионалов по безопасности и охотников за вредоносными программами часто обращаться к ней.

Патч червя

Purple Fox имеет уникальное свойство: он также атакует прошлые уязвимости, которые уже были исправлены. Следовательно, крайне важно проводить поиск угроз в вашей среде, чтобы отсеять предыдущие инфекции.

После обнаружения заражений их постоянное исправление и обновление является ключом к предотвращению этого типа вредоносных программ.

Вам также следует изучить возможность виртуального исправления устаревших или встроенных систем или программного обеспечения.

Провести аудит безопасности и ИТ

Проведение аудитов безопасности – простой способ выявить слабые места и исправить потенциальные лазейки в системах безопасности.

Если вы работаете в большой компании, рекомендуется проверить все устройства ИТ-отделом, поскольку Purple Fox в основном нацелен на уязвимые устройства.

Использовать принцип наименьших привилегий (POLP)

Для защиты корпоративных сетей следует реализовать принцип минимальных привилегий путем ограничения контроля разрешений. Рекомендуется ограничить использование инструментов, которые должны быть зарезервированы за ИТ-администраторами и системными администраторами.

Чем строже политика безопасности, тем меньше шансов вторжения.

По теме: Что такое принцип наименьших привилегий и как он может предотвратить кибератаки?

Развернуть мониторинг поведения

Поведенческий мониторинг – отличный способ выявлять необычные действия и активно управлять ими.

Управление поведенческими инструментами, такими как Redscan может анализировать данные из различных источников и использовать механизмы машинного обучения для выявления шаблонов атак.

Инвестируйте в песочницу

Песочницы – отличный вариант для предотвращения вредоносных программ, таких как Purple Fox. Песочница может помещать подозрительные файлы в карантин и способствовать их дальнейшему анализу.

Есть несколько отличных вариантов песочницы для расследования подозрительных веб-сайтов, включая PhishCheck а также VirusTotal. Вы также можете попробовать Urlscan, бесплатный сканер, который использует автоматизированный процесс для просмотра URL-адресов и последующей записи активности.

Межсетевые экраны и системы предотвращения вторжений

Комбинация систем обнаружения вторжений, таких как межсетевые экраны, и систем предотвращения вторжений (IPS), таких как Платформа безопасности McAfee Network Security следует использовать для анализа и мониторинга входящего и исходящего трафика в вашей домашней или рабочей сети.

Связанный: Лучшие системы обнаружения и предотвращения вторжений для повышения вашей кибербезопасности

Проведите тренинг по осведомленности о кибербезопасности

Чтобы уменьшить угрозу безопасности, вам необходимо сначала ее обнаружить. Проведение тренингов по вопросам кибербезопасности как дома, так и на работе должно стать приоритетом.

Работодатели должны проводить тренинги по повышению осведомленности о кибербезопасности повсюду: более наивные сотрудники могут представлять наибольший риск, становясь легкой мишенью для фишинговых атак и загрузки вредоносных программ.

Перехитри пурпурную лисицу

Атаки Purple Fox сейчас набирают обороты, и общее количество зараженных устройств достигает ошеломляющих 90000. Его новейший вектор заражения выявляет компьютеры с Windows, которые активно подключены к Интернету и имеют выявленные уязвимости.

Победить хитрого Purple Fox или любую кибератаку – нелегкая задача, но не расстраивайтесь. Немного попрактиковавшись, проявив изрядную осторожность и получив массу советов и приемов в борьбе с хакерами, вы определенно сможете перехитрить Purple Fox!