PlugX 恶意软件隐藏在 USB 设备上，以感染新的 Windows 主机

安全研究人员近日分析了 PlugX 恶意软件的一个变种，这个变种可以将恶意文件隐藏在可移动 USB 设备上，然后伺机感染 USB 设备所连接的 Windows 主机。

这种恶意软件使用了研究人员所说的 " 一种新颖技术 "，可以让它在较长时间内不被发现，并且有可能传播到严加保护的系统。

派拓网络公司（Palo Alto Network）的 Unit 42 团队在响应 Black Basta 勒索软件攻击时发现了这个 PlugX 变种的样本，而 Black Basta 勒索软件攻击依赖 GootLoader 和 Brute Ratel 后利用（post-exploitation）工具包用于红队攻击活动。

Unit 42 团队在寻找类似的样本时还在 Virus Total 扫描平台上发现了 PlugX 的一个变种，它可以找到受攻击系统上的敏感文件，并将它们复制到 USB 驱动器上的一个隐藏文件夹中。

将 PluxX 隐藏在 USB 驱动器中

PlugX 是一种颇有些年头的恶意软件，至少从 2008 年开始使用，最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用，以便侧加载加密的攻击载荷。

然而随着时间的推移，PlugX 变得极其广泛，多个威胁组织在攻击中采用了它，因而对其的使用进行追根溯源显得困难重重。

在 Unix 42 团队观察到的近期攻击中，威胁分子使用了 "x64dbg.exe" 这个 Windows 调试工具的 32 位版本和 "x32bridge.dll" 被投毒的版本，后者加载 PlugX 攻击载荷（x32bridge.dat）。

图 1. 感染链示意图（图片来源：Unit 42 团队）

撰写本文时，Virus Total 扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件，61 个产品中只有 9 个检测出了它。

图 2. VirusTotal 扫描结果（图片来源：BleepingComputer.com）

PlugX 恶意软件的最近样本被 Virus Total 上数量更少的防病毒引擎检测出来。其中一个样本（去年 8 月份添加）目前仅被该平台上的三个产品标记为是威胁。很显然，实时安全代理依赖多种检测技术，这些技术查找由系统上的文件生成的恶意活动。

研究人员解释道，他们遇到的 PlugX 版本使用 Unicode 字符在被检测的 USB 驱动器中创建一个新目录，这使得它们在 Windows 资源管理器和命令 shell 中不可见。这些目录在 Linux 上是可见的，但在 Windows 系统上隐藏起来。

Unit 42 团队称：" 恶意软件为了实现从隐藏的目录执行代码，在 USB 设备的根文件夹上创建了一个 Windows 快捷方式（.lnk）文件。"

" 恶意软件的这个快捷路径含有 Unicode 空白字符，这是一个不会导致断行，但在通过 Windows 资源管理器查看时不可见的空格。"

恶意软件在隐藏目录上创建一个 "desktop.ini" 文件，以指定根文件夹上的 LNK 文件图标，使其看起来像一个 USB 驱动器，以欺骗受害者。与此同时，"RECYCLER.BIN" 子目录起到了伪装作用，在 USB 设备上存放恶意软件的副本。

图 3. 快捷方式文件属性（图片来源：Unit 42 团队）

Sophos 研究人员在 2020 年底分析 PlugX 的旧版本时已经目睹了这种技术，不过当时研究的重点是作为执行恶意代码的一种方式的 DLL 侧加载。

受害者点击 USB 设备根文件夹上的快捷方式文件，该文件通过 cmd.exe 执行 x32.exe，从而导致主机感染上 PlugX 恶意软件。

同时，一个新的资源管理器窗口将打开，显示用户在 USB 设备上的文件，使一切看起来很正常。

在 PlugX 潜入设备后，它会持续监测新的 USB 设备，一旦发现它们，就企图感染。

图 4. 干净的 USB 驱动器与被感染的 USB 驱动器比较（图片来源：Unit 42 团队）

Unit 42 团队在研究过程中还发现了 PlugX 恶意软件同样针对 USB 驱动器的的窃取文档的变种，但这个变种多了一项本领：可以将 PDF 和微软 Word 文档复制到隐藏目录中一个名为 da520e5 的文件夹。

目前还不清楚这伙威胁分子如何从 USB 驱动器中获取这些 " 从本地向外泄露 " 的文件，但物理访问可能是其中一种手段。

虽然 PlugX 通常与政府撑腰的威胁分子有关联，但这种恶意软件可以在地下市场上买到，网络犯罪分子也使用过它。

Unit 42 团队的研究人员表示，鉴于新的发展动向使 PlugX 更难被发现，因而得以通过可移动驱动器传播开来，它有可能进入到严加保护的网络。