近日，網(wǎng)絡(luò)安全公司Sekoia發(fā)現(xiàn)蠕蟲病毒PlugX的新變種已經(jīng)在全球范圍感染了超過250萬臺主機(jī)。

PlugX是有著十多年歷史的老牌惡意軟件（蠕蟲病毒），最早可追溯到2008年，最初只被亞洲的黑客組織使用，主要針對政府、國防、技術(shù)和政治組織。2015年發(fā)生代碼泄露后，PlugX被改造成大眾化的流行黑客工具，被全球網(wǎng)絡(luò)犯罪分子廣泛使用，其中一些黑客組織將其與數(shù)字簽名軟件結(jié)合，用于實施側(cè)加載加密的攻擊載荷。

PlugX的最新變種增加了蠕蟲組件，可通過U盤感染物理隔離系統(tǒng)。2023年派拓網(wǎng)絡(luò)公司（PaloAltoNetwork）的Unit42團(tuán)隊在響應(yīng)BlackBasta勒索軟件攻擊時，在VirusTotal掃描平臺上發(fā)現(xiàn)了PlugX的一個新變種可通過U盤傳播，并能將目標(biāo)敏感文件隱藏在U盤中。

2023年3月，Sophos也報告了這種可通過USB自我傳播的PlugX新變種，并稱其已經(jīng)“傳播了半個地球”。

六個月前，Seqoia的研究人員發(fā)現(xiàn)了一個被黑客廢棄的PlugX惡意軟件變種（Sinkhole）的命令和控制(C2)服務(wù)器。

在Seqoia聯(lián)系托管公司并請求控制IP后，研究人員花費7美元獲取了該服務(wù)器的IP地址45.142.166.xxx，并使用該IP獲得了對服務(wù)器的shell訪問權(quán)限。

分析人員設(shè)置了一個簡單的Web服務(wù)器來模仿原始C2服務(wù)器的行為，捕獲來自受感染主機(jī)的HTTP請求并觀察流量的變化。

C2服務(wù)器的操作記錄顯示，每天有9-10萬個主機(jī)發(fā)送請求，六個月內(nèi)全球有近250萬個獨立IP連接到該服務(wù)器（下圖）：

研究人員發(fā)現(xiàn)，PlugX已傳播到全球170個國家，但集中度較高，15個國家占感染總數(shù)的80%以上，其中尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國是重災(zāi)區(qū)。

研究人員強(qiáng)調(diào)，由于被廢棄的PlugXC2服務(wù)器沒有唯一標(biāo)識符，這導(dǎo)致受感染主機(jī)的統(tǒng)計數(shù)字可能并不十分準(zhǔn)確，因為：

• 許多受感染的工作站可以通過相同的IP地址連接

• 由于采用動態(tài)IP尋址，一個受感染系統(tǒng)可以連接多個IP地址

• 許多連接是通過VPN服務(wù)進(jìn)行的，這可能使來源國家/地區(qū)的數(shù)據(jù)失真

Sekoia建議各國網(wǎng)絡(luò)安全團(tuán)隊和執(zhí)法機(jī)構(gòu)采取兩種殺毒方法。

第一種方法是發(fā)送PlugX支持的自刪除命令，該命令應(yīng)將其從計算機(jī)中刪除，而無需執(zhí)行其他操作。但需要注意的是，因為PlugX新變種可通過USB設(shè)備傳播，第一種方法無法清除這些“離線”病毒。即使從主機(jī)中刪除了惡意軟件，仍然存在重新感染的風(fēng)險。

第二種方法較為復(fù)雜，需要在受感染的計算機(jī)上開發(fā)和部署自定義有效負(fù)載，從系統(tǒng)以及與其連接的受感染USB驅(qū)動器中刪除PlugX。

Sekoia還向各國國家計算機(jī)緊急響應(yīng)小組(CERT)提供了執(zhí)行“主權(quán)消毒”所需的信息。

參考連接：

https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/