Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Biến thể botnet PurpleFox mới sử dụng WebSockets cho giao tiếp C2

author Đặng Hoài Đức - 2021-10-21 09:00:37 (GMT+7)

Mạng botnet PurpleFox đã được làm mới mình và trở nên hoàn thiện hơn, giờ đây nó có thể tận dụng WebSockets cho giao tiếp C2.

Hiện tại, mạng botnet PurpleFox đã có mặt trên hàng trăm máy chủ trên toàn thế giới. Botnet này nhắm mục tiêu đến các hệ thống windows 64 bit từ Windows 7 đến Windows 10.

Sau đây là danh sách các lỗ hổng mới nhất được khai thác bởi biến thể PurpleFox như sau: 

Botnet PurpleFox có khả năng tự ẩn mình

Sau khi botnet PurpleFox nhận diện được hệ thống máy chủ, nó sẽ chọn cách khai thác thích hợp và sử dụng module PowerSploit để tải nó lên hệ thống.

Ngoài ra, các backdoor - cửa hậu sẽ được cài đặt trên hệ thống máy chủ dưới dạng file DLL với tiện ích nén file VMProtect.

Botnet PurpleFox này cũng có thể sử dụng rootkit để ẩn các file độc hại, các khóa đăng ký và quy trình của nó. Điều này khiến hệ thống máy chủ không thể phát hiện bản thân đã bị xâm phạm.

PurpleFox tự tạo một kênh WebSocket để giao tiếp

Botnet PurpleFox có khả năng tự tạo một kênh WebSocket cho giao tiếp C2 thông qua một backdoor .NET. Backdoor .NET chịu trách nhiệm chính thiết lập cấu hình giao tiếp và khởi tạo các chức năng mật mã.  

Các tin nhắn được trao đổi thông qua WebSocket giữa máy tính bị nhiễm và máy chủ C2 bắt đầu bằng một phiên khóa mã hóa RSA. Hơn thế nữa, các tin nhắn còn có thể trao đổi thông qua một mã hóa AES mặc định.

Bằng cách gửi tin nhắn "keepalive", kết nối TCP được duy trì trong thời gian cần thiết.

Hiện tại, Botnet PurpleFox vẫn đang hoạt động và có một số máy chủ C&C vẫn đang kiểm soát các ứng dụng khách WebSocket.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021

tin.123host.vnTechnology news 24 hours

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm