本文來自搜狐網(wǎng),作者/布加迪。
安全研究人員近日分析了PlugX惡意軟件的一個(gè)變種,這個(gè)變種可以將惡意文件隱藏在可移動USB設(shè)備上,然后伺機(jī)感染USB設(shè)備所連接的Windows主機(jī)。
這種惡意軟件使用了研究人員所說的“一種新穎技術(shù)”,可以讓它在較長時(shí)間內(nèi)不被發(fā)現(xiàn),并且有可能傳播到嚴(yán)加保護(hù)的系統(tǒng)。
派拓網(wǎng)絡(luò)公司(Palo Alto Network)的Unit 42團(tuán)隊(duì)在響應(yīng)Black Basta勒索軟件攻擊時(shí)發(fā)現(xiàn)了這個(gè)PlugX變種的樣本,而Black Basta勒索軟件攻擊依賴GootLoader和Brute Ratel后利用(post-exploitation)工具包用于紅隊(duì)攻擊活動。
Unit 42團(tuán)隊(duì)在尋找類似的樣本時(shí)還在Virus Total掃描平臺上發(fā)現(xiàn)了PlugX的一個(gè)變種,它可以找到受攻擊系統(tǒng)上的敏感文件,并將它們復(fù)制到USB驅(qū)動器上的一個(gè)隱藏文件夾中。
將PluxX隱藏在USB驅(qū)動器中
PlugX是一種頗有些年頭的惡意軟件,至少從2008年開始使用,最初只被亞洲的黑客組織使用。如今其中一些黑客組織將其與數(shù)字簽名軟件結(jié)合使用,以便側(cè)加載加密的攻擊載荷。
然而隨著時(shí)間的推移,PlugX變得極其廣泛,多個(gè)威脅組織在攻擊中采用了它,因而對其的使用進(jìn)行追根溯源顯得困難重重。
在Unix 42團(tuán)隊(duì)觀察到的近期攻擊中,威脅分子使用了“x64dbg.exe”這個(gè)Windows調(diào)試工具的32位版本和“x32bridge.dll”被投毒的版本,后者加載PlugX攻擊載荷(x32bridge.dat)。
圖1.感染鏈?zhǔn)疽鈭D(圖片來源:Unit 42團(tuán)隊(duì))
撰寫本文時(shí),Virus Total掃描平臺上的大多數(shù)防病毒引擎都并未將該文件標(biāo)記為惡意文件,61個(gè)產(chǎn)品中只有9個(gè)檢測出了它。
圖2.VirusTotal掃描結(jié)果(圖片來源:BleepingComputer.com)
PlugX惡意軟件的最近樣本被Virus Total上數(shù)量更少的防病毒引擎檢測出來。其中一個(gè)樣本(去年8月份添加)目前僅被該平臺上的三個(gè)產(chǎn)品標(biāo)記為是威脅。很顯然,實(shí)時(shí)安全代理依賴多種檢測技術(shù),這些技術(shù)查找由系統(tǒng)上的文件生成的惡意活動。
研究人員解釋道,他們遇到的PlugX版本使用Unicode字符在被檢測的USB驅(qū)動器中創(chuàng)建一個(gè)新目錄,這使得它們在Windows資源管理器和命令shell中不可見。這些目錄在Linux上是可見的,但在Windows系統(tǒng)上隱藏起來。
Unit 42團(tuán)隊(duì)稱:“惡意軟件為了實(shí)現(xiàn)從隱藏的目錄執(zhí)行代碼,在USB設(shè)備的根文件夾上創(chuàng)建了一個(gè)Windows快捷方式(.lnk)文件。”
“惡意軟件的這個(gè)快捷路徑含有Unicode空白字符,這是一個(gè)不會導(dǎo)致斷行,但在通過Windows資源管理器查看時(shí)不可見的空格。”
惡意軟件在隱藏目錄上創(chuàng)建一個(gè)“desktop.ini”文件,以指定根文件夾上的LNK文件圖標(biāo),使其看起來像一個(gè)USB驅(qū)動器,以欺騙受害者。與此同時(shí),“RECYCLER.BIN”子目錄起到了偽裝作用,在USB設(shè)備上存放惡意軟件的副本。
圖3.快捷方式文件屬性(圖片來源:Unit 42團(tuán)隊(duì))
Sophos研究人員在2020年底分析PlugX的舊版本時(shí)已經(jīng)目睹了這種技術(shù),不過當(dāng)時(shí)研究的重點(diǎn)是作為執(zhí)行惡意代碼的一種方式的DLL側(cè)加載。
受害者點(diǎn)擊USB設(shè)備根文件夾上的快捷方式文件,該文件通過cmd.exe執(zhí)行x32.exe,從而導(dǎo)致主機(jī)感染上PlugX惡意軟件。
同時(shí),一個(gè)新的資源管理器窗口將打開,顯示用戶在USB設(shè)備上的文件,使一切看起來很正常。
在PlugX潛入設(shè)備后,它會持續(xù)監(jiān)測新的USB設(shè)備,一旦發(fā)現(xiàn)它們,就企圖感染。
圖4.干凈的USB驅(qū)動器與被感染的USB驅(qū)動器比較(圖片來源:Unit 42團(tuán)隊(duì))
Unit 42團(tuán)隊(duì)在研究過程中還發(fā)現(xiàn)了PlugX惡意軟件同樣針對USB驅(qū)動器的的竊取文檔的變種,但這個(gè)變種多了一項(xiàng)本領(lǐng):可以將PDF和微軟Word文檔復(fù)制到隱藏目錄中一個(gè)名為da520e5的文件夾。
目前還不清楚這伙威脅分子如何從USB驅(qū)動器中獲取這些“從本地向外泄露”的文件,但物理訪問可能是其中一種手段。
雖然PlugX通常與政府撐腰的威脅分子有關(guān)聯(lián),但這種惡意軟件可以在地下市場上買到,網(wǎng)絡(luò)犯罪分子也使用過它。
Unit 42團(tuán)隊(duì)的研究人員表示,鑒于新的發(fā)展動向使PlugX更難被發(fā)現(xiàn),因而得以通過可移動驅(qū)動器傳播開來,它有可能進(jìn)入到嚴(yán)加保護(hù)的網(wǎng)絡(luò)。
本文翻譯自:https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/