信息來源：FreeBuf

“紫狐”木馬最早出現(xiàn)于2018年3月，通過與游戲外掛、第三方安裝程序捆綁傳播，該木馬如同其名字一樣具有狐貍般的狡猾，應(yīng)用了極強(qiáng)的反檢測能力，除了功能DLL文件加強(qiáng)殼外，還會通過加載驅(qū)動的方式進(jìn)行隱藏，并且利用PendingFileRenameOperations實現(xiàn)延時刪除，注入系統(tǒng)進(jìn)程以躲避檢測。

近日，深信服安全團(tuán)隊監(jiān)測到“紫狐”木馬再次升級，在原有的“反偵察”能力上，新增了“永恒之藍(lán)”漏洞利用功能和1433端口掃描爆破功能，一旦感染便迅速蔓延內(nèi)網(wǎng)，并不斷對外網(wǎng)發(fā)起攻擊。通過深信服安全感知平臺報警提示多個安全事件，包含大量橫向傳播的惡意行為：

由深信服安全云腦對此次捕獲到的相關(guān)域名進(jìn)行統(tǒng)計，各省份均存在“紫狐”木馬感染情況，推測原因是由于其利用了軟件捆綁的方式進(jìn)行傳播，因此，下載運(yùn)行不明來源安裝程序的用戶極易遭到感染：

通過分析關(guān)聯(lián)，“紫狐”木馬母體的最新下載鏈接使用了域名bk.xdzxxf.xyz，而下載的文件一直在不斷變化：

木馬母體為一個msi文件，通過解壓可以看到其中包含了三個文件，分別是：

1、x86下的dll文件winupdate32.log

2、x64下的dll文件winupdate64.log

3、加密的PE文件sysupdate.log

其中，兩個DLL文件都加了VMP殼，成功運(yùn)行后會刪除母體和運(yùn)行過程中的各個跳板進(jìn)程，以躲避追蹤檢測，最終只殘留驅(qū)動隱藏的DLL文件通過PendingFileRenameOperations實現(xiàn)延時刪除。

感染現(xiàn)象

感染“紫狐”木馬的主機(jī)會存在一個獨立的svchost.exe進(jìn)程，不斷外連1433端口和445端口：

使用工具搜索*.dll，按修改時間降序，可以搜索到C:\Windows\System32目錄下名為MsxxxxxxxxApp.dll的文件（中間“xxxxxxxx”為隨機(jī)數(shù)字）：

使用cmd命令fltmc可以看到加載了一個驅(qū)動“dump_xxxxxxxx”（其中” xxxxxxxx”為隨機(jī)字符）：

清除病毒

1. 進(jìn)入安全模式；

2. 刪除文件MsxxxxxxApp.dll；

3. 在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations中刪除C:\Windows\System32\MsxxxxxxApp.dll；

4. 刪除注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost的netsvcs值中刪除MsxxxxxxApp相關(guān)值；

病毒防御

1. 深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺等安全產(chǎn)品均具備病毒檢測能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒防御，如圖所示：

2. 主機(jī)打上“永恒之藍(lán)”漏洞補(bǔ)?。?

3. 不要下載來路不明的軟件、不使用非法外掛軟件；

4. 數(shù)據(jù)庫使用強(qiáng)密碼，避免使用統(tǒng)一的密碼；

5.使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)可以即時檢測防御新威脅；

6.深信服推出安全運(yùn)營服務(wù)，通過以“人機(jī)共智”的服務(wù)模式幫助用戶快速擴(kuò)展安全能力，針對此類威脅安全運(yùn)營服務(wù)提供設(shè)備安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保第一時間檢測風(fēng)險以及更新策略，防范此類威脅。