PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机
安全研究人员近日分析了 PlugX 恶意软件的一个变种,这个变种可以将恶意文件隐藏在可移动 USB 设备上,然后伺机感染 USB 设备所连接的 Windows 主机。
这种恶意软件使用了研究人员所说的 " 一种新颖技术 ",可以让它在较长时间内不被发现,并且有可能传播到严加保护的系统。
派拓网络公司(Palo Alto Network)的 Unit 42 团队在响应 Black Basta 勒索软件攻击时发现了这个 PlugX 变种的样本,而 Black Basta 勒索软件攻击依赖 GootLoader 和 Brute Ratel 后利用(post-exploitation)工具包用于红队攻击活动。
Unit 42 团队在寻找类似的样本时还在 Virus Total 扫描平台上发现了 PlugX 的一个变种,它可以找到受攻击系统上的敏感文件,并将它们复制到 USB 驱动器上的一个隐藏文件夹中。
将 PluxX 隐藏在 USB 驱动器中
PlugX 是一种颇有些年头的恶意软件,至少从 2008 年开始使用,最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用,以便侧加载加密的攻击载荷。
然而随着时间的推移,PlugX 变得极其广泛,多个威胁组织在攻击中采用了它,因而对其的使用进行追根溯源显得困难重重。
在 Unix 42 团队观察到的近期攻击中,威胁分子使用了 "x64dbg.exe" 这个 Windows 调试工具的 32 位版本和 "x32bridge.dll" 被投毒的版本,后者加载 PlugX 攻击载荷(x32bridge.dat)。
图 1. 感染链示意图(图片来源:Unit 42 团队)
撰写本文时,Virus Total 扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件,61 个产品中只有 9 个检测出了它。
图 2. VirusTotal 扫描结果(图片来源:BleepingComputer.com)
PlugX 恶意软件的最近样本被 Virus Total 上数量更少的防病毒引擎检测出来。其中一个样本(去年 8 月份添加)目前仅被该平台上的三个产品标记为是威胁。很显然,实时安全代理依赖多种检测技术,这些技术查找由系统上的文件生成的恶意活动。
研究人员解释道,他们遇到的 PlugX 版本使用 Unicode 字符在被检测的 USB 驱动器中创建一个新目录,这使得它们在 Windows 资源管理器和命令 shell 中不可见。这些目录在 Linux 上是可见的,但在 Windows 系统上隐藏起来。
Unit 42 团队称:" 恶意软件为了实现从隐藏的目录执行代码,在 USB 设备的根文件夹上创建了一个 Windows 快捷方式(.lnk)文件。"
" 恶意软件的这个快捷路径含有 Unicode 空白字符,这是一个不会导致断行,但在通过 Windows 资源管理器查看时不可见的空格。"
恶意软件在隐藏目录上创建一个 "desktop.ini" 文件,以指定根文件夹上的 LNK 文件图标,使其看起来像一个 USB 驱动器,以欺骗受害者。与此同时,"RECYCLER.BIN" 子目录起到了伪装作用,在 USB 设备上存放恶意软件的副本。
图 3. 快捷方式文件属性(图片来源:Unit 42 团队)
Sophos 研究人员在 2020 年底分析 PlugX 的旧版本时已经目睹了这种技术,不过当时研究的重点是作为执行恶意代码的一种方式的 DLL 侧加载。
受害者点击 USB 设备根文件夹上的快捷方式文件,该文件通过 cmd.exe 执行 x32.exe,从而导致主机感染上 PlugX 恶意软件。
同时,一个新的资源管理器窗口将打开,显示用户在 USB 设备上的文件,使一切看起来很正常。
在 PlugX 潜入设备后,它会持续监测新的 USB 设备,一旦发现它们,就企图感染。
图 4. 干净的 USB 驱动器与被感染的 USB 驱动器比较(图片来源:Unit 42 团队)
Unit 42 团队在研究过程中还发现了 PlugX 恶意软件同样针对 USB 驱动器的的窃取文档的变种,但这个变种多了一项本领:可以将 PDF 和微软 Word 文档复制到隐藏目录中一个名为 da520e5 的文件夹。
目前还不清楚这伙威胁分子如何从 USB 驱动器中获取这些 " 从本地向外泄露 " 的文件,但物理访问可能是其中一种手段。
虽然 PlugX 通常与政府撑腰的威胁分子有关联,但这种恶意软件可以在地下市场上买到,网络犯罪分子也使用过它。
Unit 42 团队的研究人员表示,鉴于新的发展动向使 PlugX 更难被发现,因而得以通过可移动驱动器传播开来,它有可能进入到严加保护的网络。
