本文來自微信公眾號(hào)“GoUpSec”。
近日,網(wǎng)絡(luò)安全公司Sekoia發(fā)現(xiàn)蠕蟲病毒PlugX的新變種已經(jīng)在全球范圍感染了超過250萬臺(tái)主機(jī)。
老牌惡意軟件藏身U盤
PlugX是有著十多年歷史的老牌惡意軟件(蠕蟲病毒),最早可追溯到2008年,最初只被亞洲的黑客組織使用,主要針對(duì)政府、國防、技術(shù)和政治組織。2015年發(fā)生代碼泄露后,PlugX被改造成大眾化的流行黑客工具,被全球網(wǎng)絡(luò)犯罪分子廣泛使用,其中一些黑客組織將其與數(shù)字簽名軟件結(jié)合,用于實(shí)施側(cè)加載加密的攻擊載荷。
PlugX的最新變種增加了蠕蟲組件,可通過U盤感染物理隔離系統(tǒng)。2023年派拓網(wǎng)絡(luò)公司(PaloAltoNetwork)的Unit42團(tuán)隊(duì)在響應(yīng)BlackBasta勒索軟件攻擊時(shí),在VirusTotal掃描平臺(tái)上發(fā)現(xiàn)了PlugX的一個(gè)新變種可通過U盤傳播,并能將目標(biāo)敏感文件隱藏在U盤中。
2023年3月,Sophos也報(bào)告了這種可通過USB自我傳播的PlugX新變種,并稱其已經(jīng)“傳播了半個(gè)地球”。
全球250萬臺(tái)主機(jī)中招,中美都是重災(zāi)區(qū)
六個(gè)月前,Seqoia的研究人員發(fā)現(xiàn)了一個(gè)被黑客廢棄的PlugX惡意軟件變種(Sinkhole)的命令和控制(C2)服務(wù)器。
在Seqoia聯(lián)系托管公司并請(qǐng)求控制IP后,研究人員花費(fèi)7美元獲取了該服務(wù)器的IP地址45.142.166.xxx,并使用該IP獲得了對(duì)服務(wù)器的shell訪問權(quán)限。
分析人員設(shè)置了一個(gè)簡單的Web服務(wù)器來模仿原始C2服務(wù)器的行為,捕獲來自受感染主機(jī)的HTTP請(qǐng)求并觀察流量的變化。
C2服務(wù)器的操作記錄顯示,每天有9-10萬個(gè)主機(jī)發(fā)送請(qǐng)求,六個(gè)月內(nèi)全球有近250萬個(gè)獨(dú)立IP連接到該服務(wù)器(下圖):
研究人員發(fā)現(xiàn),PlugX已傳播到全球170個(gè)國家,但集中度較高,15個(gè)國家占感染總數(shù)的80%以上,其中尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國是重災(zāi)區(qū)。
研究人員強(qiáng)調(diào),由于被廢棄的PlugXC2服務(wù)器沒有唯一標(biāo)識(shí)符,這導(dǎo)致受感染主機(jī)的統(tǒng)計(jì)數(shù)字可能并不十分準(zhǔn)確,因?yàn)椋?/p>
●許多受感染的工作站可以通過相同的IP地址連接
●由于采用動(dòng)態(tài)IP尋址,一個(gè)受感染系統(tǒng)可以連接多個(gè)IP地址
●許多連接是通過VPN服務(wù)進(jìn)行的,這可能使來源國家/地區(qū)的數(shù)據(jù)失真
兩種殺毒方法
Sekoia建議各國網(wǎng)絡(luò)安全團(tuán)隊(duì)和執(zhí)法機(jī)構(gòu)采取兩種殺毒方法。
第一種方法是發(fā)送PlugX支持的自刪除命令,該命令應(yīng)將其從計(jì)算機(jī)中刪除,而無需執(zhí)行其他操作。但需要注意的是,因?yàn)镻lugX新變種可通過USB設(shè)備傳播,第一種方法無法清除這些“離線”病毒。即使從主機(jī)中刪除了惡意軟件,仍然存在重新感染的風(fēng)險(xiǎn)。
第二種方法較為復(fù)雜,需要在受感染的計(jì)算機(jī)上開發(fā)和部署自定義有效負(fù)載,從系統(tǒng)以及與其連接的受感染USB驅(qū)動(dòng)器中刪除PlugX。
Sekoia還向各國國家計(jì)算機(jī)緊急響應(yīng)小組(CERT)提供了執(zhí)行“主權(quán)消毒”所需的信息。