【安全资讯】PurpleFox利用基于WPAD的中间人攻击针对印度尼西亚用户
引言
PurpleFox是一款著名的漏洞利用工具包,研究人员发现攻击者利用PurpleFox针对印度尼西亚用户进行攻击。攻击者在Cloudflare注册了域名“wpad.id”,然后加载WPAD服务的URL,这将返回一个利用CVE-2019-1367的JavaScript版本,其中包含自定义Shellcode,Shellcode从URL下载下一阶段以投放有效载荷。攻击者利用WPAD域感染用户,使用这种技术,可以实现零点击攻击,因为在系统启动时访问WPAD URL,无需任何用户输入。除了印度尼西亚顶级域之外,研究人员暂时没有发现其他受到影响的国家顶级域。
简况
WPAD 是一种允许计算机自动发现 Web 代理配置的协议,主要用于仅允许客户端通过代理与外部世界进行通信的网络。
攻击者在Cloudflare注册了域名“wpad.id”,然后加载WPAD服务的URL,PurpleFox攻击者为了滥用 WPAD,在Cloudflare注册了域“wpad.id”,然后加载位于http://wpad[.]id/wpad[.]dat 的WPAD 服务的 URL 。这将返回一个利用CVE-2019-1367的独立 JavaScript 版本,其中包含自定义 shellcode,以遵循 WPAD 攻击的攻击链设置。
自定义 shellcode 从 URL “http://9kf[.]me/in[.]php?id=1”下载下一阶段以投放有效载荷。PurpleFox 链被设计为具有多个复杂阶段,滥用 PowerShell 和 MSI 文件。攻击链如下:
总结
PurpleFox正在活跃地寻找新的感染策略,且不仅影响了印度尼西亚的受害者,使用印度尼西亚 TLD 的其他国家/地区的用户也受到了影响。与此同时,PurpleFox 正在尝试访问用户交互少但可能受 WPAD 技术影响的服务器,例如自动机器。