【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

admin
admin
admin
102369
文章
87
评论
2023年2月10日06:12:04评论61 views字数 2029阅读6分45秒阅读模式

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机


关键词

恶意软件


【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

安全研究人员近日分析了 PlugX 恶意软件的一个变种,这个变种可以将恶意文件隐藏在可移动 USB 设备上,然后伺机感染 USB 设备所连接的 Windows 主机。

这种恶意软件使用了研究人员所说的 " 一种新颖技术 ",可以让它在较长时间内不被发现,并且有可能传播到严加保护的系统。

派拓网络公司(Palo Alto Network)的 Unit 42 团队在响应 Black Basta 勒索软件攻击时发现了这个 PlugX 变种的样本,而 Black Basta 勒索软件攻击依赖 GootLoader 和 Brute Ratel 后利用(post-exploitation)工具包用于红队攻击活动。

Unit 42 团队在寻找类似的样本时还在 Virus Total 扫描平台上发现了 PlugX 的一个变种,它可以找到受攻击系统上的敏感文件,并将它们复制到 USB 驱动器上的一个隐藏文件夹中。

将 PluxX 隐藏在 USB 驱动器中

PlugX 是一种颇有些年头的恶意软件,至少从 2008 年开始使用,最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用,以便侧加载加密的攻击载荷。

然而随着时间的推移,PlugX 变得极其广泛,多个威胁组织在攻击中采用了它,因而对其的使用进行追根溯源显得困难重重。

在 Unix 42 团队观察到的近期攻击中,威胁分子使用了 "x64dbg.exe" 这个 Windows 调试工具的 32 位版本和 "x32bridge.dll" 被投毒的版本,后者加载 PlugX 攻击载荷(x32bridge.dat)。

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

图 1. 感染链示意图(图片来源:Unit 42 团队)

撰写本文时,Virus Total 扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件,61 个产品中只有 9 个检测出了它。

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

图 2. VirusTotal 扫描结果(图片来源:BleepingComputer.com)

PlugX 恶意软件的最近样本被 Virus Total 上数量更少的防病毒引擎检测出来。其中一个样本(去年 8 月份添加)目前仅被该平台上的三个产品标记为是威胁。很显然,实时安全代理依赖多种检测技术,这些技术查找由系统上的文件生成的恶意活动。

研究人员解释道,他们遇到的 PlugX 版本使用 Unicode 字符在被检测的 USB 驱动器中创建一个新目录,这使得它们在 Windows 资源管理器和命令 shell 中不可见。这些目录在 Linux 上是可见的,但在 Windows 系统上隐藏起来。

Unit 42 团队称:" 恶意软件为了实现从隐藏的目录执行代码,在 USB 设备的根文件夹上创建了一个 Windows 快捷方式(.lnk)文件。"

" 恶意软件的这个快捷路径含有 Unicode 空白字符,这是一个不会导致断行,但在通过 Windows 资源管理器查看时不可见的空格。"

恶意软件在隐藏目录上创建一个 "desktop.ini" 文件,以指定根文件夹上的 LNK 文件图标,使其看起来像一个 USB 驱动器,以欺骗受害者。与此同时,"RECYCLER.BIN" 子目录起到了伪装作用,在 USB 设备上存放恶意软件的副本。

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

图 3. 快捷方式文件属性(图片来源:Unit 42 团队)

Sophos 研究人员在 2020 年底分析 PlugX 的旧版本时已经目睹了这种技术,不过当时研究的重点是作为执行恶意代码的一种方式的 DLL 侧加载。

受害者点击 USB 设备根文件夹上的快捷方式文件,该文件通过 cmd.exe 执行 x32.exe,从而导致主机感染上 PlugX 恶意软件。

同时,一个新的资源管理器窗口将打开,显示用户在 USB 设备上的文件,使一切看起来很正常。

在 PlugX 潜入设备后,它会持续监测新的 USB 设备,一旦发现它们,就企图感染。

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

图 4. 干净的 USB 驱动器与被感染的 USB 驱动器比较(图片来源:Unit 42 团队)

Unit 42 团队在研究过程中还发现了 PlugX 恶意软件同样针对 USB 驱动器的的窃取文档的变种,但这个变种多了一项本领:可以将 PDF 和微软 Word 文档复制到隐藏目录中一个名为 da520e5 的文件夹。

目前还不清楚这伙威胁分子如何从 USB 驱动器中获取这些 " 从本地向外泄露 " 的文件,但物理访问可能是其中一种手段。

虽然 PlugX 通常与政府撑腰的威胁分子有关联,但这种恶意软件可以在地下市场上买到,网络犯罪分子也使用过它。

Unit 42 团队的研究人员表示,鉴于新的发展动向使 PlugX 更难被发现,因而得以通过可移动驱动器传播开来,它有可能进入到严加保护的网络。


   END  

阅读推荐

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机【安全圈】四川省市场监管局查办一批侵犯公民个人信息案

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机【安全圈】难以置信!两周,微软遭遇两次重大故障

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机【安全圈】超5万起网络犯罪背后的连环黑客,终于在法国被逮捕

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机【安全圈】黑客利用Sliver和BYOVD攻击Windows系统

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机
【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

安全圈

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机




原文始发于微信公众号(安全圈):【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月10日06:12:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】PlugX 恶意软件隐藏在 USB 设备上,以感染新的 Windows 主机http://cn-sec.com/archives/1545840.html

发表评论

匿名网友 填写信息