腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

admin

102621
文章

87
评论

2021年6月11日16:52:41评论217 views字数 2118阅读7分3秒阅读模式

长按二维码关注

腾讯安全威胁情报中心

摘要

紫狐病毒最新变种的攻击具备以下特点：
1.通过疯狂扫描1433端口爆破攻击呈蠕虫式传播；
2.自5月中旬以来，感染量上升迅速，该僵尸网络正扩散至多个国家；
3.该团伙曾借助游戏外挂、游戏辅助工具、刷量软件、破解补丁等传播，也曾利用服务器组件的高危漏洞传播；
4.该团伙的牟利手段是推广安装用户不需要的软件，锁浏览器主页等。

一、概述

腾讯安全威胁情报中心检测到紫狐病毒最新变种正疯狂攻击企业SQL Server服务器的1433端口，利用弱口令爆破攻击扩散。通过威胁情报数据回溯分析，发现该变种自5月中旬以来感染量已呈大幅上升态势，日感染量已达数千。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

紫狐病毒家族最先出现在2018年，最初通过木马下载器、刷量软件、游戏外挂等工具分发，也曾利用Weblogic和ThinkPHP等服务器组件漏洞攻击扩散。紫狐病毒团伙主要通过流氓软件分发、刷量、锁浏览器主页等方式牟利，其最新变种针对企业SQL服务器的蠕虫式攻击，会对企业信息安全带来严重影响。

腾讯安全威胁情报中心的检测数据表明，该团伙的影响正在扩散中，国内的受害服务器主要分布于北京、江苏、浙江、广东等地。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

而该团伙的攻击活动已影响全球。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

腾讯安全专家建议政企用户采取措施消除紫狐病毒影响，SQL服务器停止使用弱口令，避免遭遇蠕虫式攻击，建议用户避免下载使用游戏外挂、辅助工具、软件破解补丁等应用，防止安装隐藏在这些工具中的紫狐病毒。

二、腾讯安全解决方案

紫狐病毒相关的威胁情报数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户通过部署腾讯零信任无边界访问控制系统（iOA）、腾讯高级威胁检测系统(NTA)、腾讯天幕（NIPS）等安全产品检测防御相关威胁。

腾讯零信任iOA（个人用户推荐使用腾讯电脑管家）系统支持检测、查杀捆绑在若干中游戏外挂、刷量工具、或破解补丁中的紫狐病毒。企业用户可通过腾讯零信任iOA系统部署全网安全策略，禁止使用弱口令，关闭高风险端口和服务，降低黑客入侵风险。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到由紫狐病毒团伙发起的针对SQL服务器的爆破攻击。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

私有云客户可通过旁路部署腾讯天幕（NIPS）实时拦截紫狐病毒的通信连接，通过天幕（NIPS）与腾讯高级威胁检测系统（NTA)的联动，可及时阻断已失陷SQL服务器对其他网络的攻击。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

三、详细分析

被入侵后安装执行远程伪装图片的msi包（http://182.243.124.170:16147/F12E5CE5.Png），对其下载后解包可看到名为setupact32，setupact64的2个PE文件，分别对应Windows平台下的x86，x64恶意DLL，加vmp壳。另外存在一个自定义的加密文件dbcode21mk.log，该文件头中包含KewDriver32H标记，后续通过动态解密后作为Rootkit执行，木马通过Pending File Rename结合shim利用劫持的方式，实现持久化。

腾讯安全报告：紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散