보안정보

글로벌 정보보안 리더 윈스
PurpleFox

PurpleFox 악성 코드, 노출된 Windows 시스템에 침투하다

침해사고분석팀 2021.03.24

 

 

이전에 익스플로잇 킷과 피싱 이메일을 통해 배포된 멀웨어인 PurpleFox가 현재 지속적인 공격에서 인터넷을 통해 도달할 수 있는 Windows 시스템을 검색하고 감염시킬 수 있는 웜 모듈을 추가하고 있음이 발견되었다.

 

이 악성 코드는 루트킷 및 백도어 기능과 함께 제공되며 2018년에 최소 30,000개의 장치를 감염시킨 후 처음 발견되었으며 다른 악성 코드 변종을 배포하기 위한 다운로더로 사용된다.

 

PurpleFox의 익스플로잇 킷 모듈은 메모리 손상 및 권한 상승 취약성을 악용한 후 웹 브라우저를 통해 Windows 사용자를 감염시키기 위해 과거의 Windows 시스템을 표적으로 삼았다.

 

Guardicore Labs 보안 연구원인 Amit Serper와 Ophir Harpaz에 따르면 2020년 5월부터 PurpleFox 공격이 크게 강화되어 총 90,000건의 공격과 600% 더 많은 감염을 기록했다.

 

 

 

[그림1. 시간에 따른 PurpleFox 공격 빈도]

 

 

GGSN(Guardicore Global Sensors Network)을 사용하여 수집된 자료를 기반으로 멀웨어의 활성 포트 검색 및 악용 시도는 작년 말에 시작되었다.

 

인터넷을 통해 도달할 수 있는 장치를 스캔하는 동안 노출된 Windows 시스템을 발견한 후 PurpleFox의 새로 추가 된 웜 모듈은 SMB 암호 무차별 대입을 사용하여 감염시킨다.

 

Guardicore Labs 보고서에 따르면 지금까지 PurpleFox는 약 2,000개의 손상된 서버로 구성된 광범위한 봇 네트워크에 맬웨어 드롭퍼와 추가 모듈을 배포했다.

 

이 봇넷에 감염된 장치에는 IIS 버전 7.5 및 Microsoft FTP를 실행하는 Windows Server 시스템과 Microsoft RPC, Microsoft Server SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0 및 Microsoft 터미널 서비스를 실행하는 서버가 포함된다.

 

PurpleFox는 웜과 유사한 동작을 통해 인터넷에 노출된 취약한 SMB 서비스를 통해 침입하여 서버를 감염시킬 수 있지만 피싱 캠페인과 웹 브라우저 취약점을 사용하여 페이로드를 배포하고 있다.

 

"연구를 통해 우리는 악성 코드의 초기 페이로드를 호스팅하는 취약하고 악용된 서버, 지속적으로 웜 공격을하는 캠페인의 노드 역할을하는 감염된 시스템 및 서버 인프라로 구성된 것으로 보이는 인프라를 관찰했습니다. 다른 악성 코드 캠페인과 관련된 것으로 보입니다. "라고 Serper와 Harpaz는 말했다.

 

 

 

[그림2. PurpleFox 공격 흐름도]

 

 

감염된 장치를 다시 시작하고 지속성을 확보하기 전에 PurpleFox는 숨겨진 오픈 소스 루트킷을 사용하여 감염된 시스템에서 생성되어 드롭된 파일 및 폴더 또는 Windows 레지스트리 항목을 숨기는 루트킷 모듈도 설치한다. 

 

루트킷을 배포하고 장치를 재부팅한 후 맬웨어는 Windows 시스템 DLL과 일치하도록 DLL 페이로드의 이름을 바꾸고 시스템 시작시 실행되도록 구성한다.

 

시스템 시작시 악성 코드가 실행되면 감염된 각 시스템은 이후에 동일한 웜과 유사한 동작을 나타내며 인터넷에서 다른 대상을 지속적으로 검색하고 이를 손상시키고 봇넷에 추가하려고 시도한다.

 

Guardicore Labs는 "컴퓨터가 포트 445에서 전송되는 SMB 프로브에 응답하면 무차별 사용자 이름과 암호를 입력하거나 null 세션을 설정하여 SMB에 인증을 시도합니다."라고 말했다.

 

"인증에 성공하면 맬웨어는 이름이 정규식 AC0[0-9]{1}과 일치하는 서비스를 생성합니다. 예를 들어 AC01, AC02, AC05 (이전에 언급 한대로) 중 하나에서 MSI 설치 패키지를 다운로드합니다. 많은 HTTP 서버가 감염 루프를 완성시킵니다."라고 덧붙였다.

 

PurpleFox MSI 드롭 사이트 및 서버 연결을 포함한 IOC(Indicator of Compilation)는 현재 Github에서 사용할 수 있다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/

https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox
목록