法国当局启动杀毒行动，从受感染的主机中根除PLUGX恶意软件

在法国当局的协助下，欧洲刑警组织于2024年7月18日发起了一项“消毒行动”，旨在清理感染PlugX恶意软件的主机。

网络安全公司Sekoia.io发布报告后，巴黎公共检察官办公室对涉及全球数百万受害者的僵尸网络展开了初步调查，其中包括法国数千台机器。据法国当局称，该僵尸网络被用于间谍活动。此次国际行动使合作伙伴国家受益，欧洲刑警组织为他们提供了消毒解决方案。

2023年9月，Sekoia研究人员成功使与PlugX恶意软件相关的C2服务器陷入沉没。他们识别并获取了与该蠕虫变种相关的唯一IP地址，花费了7美元。

Sekoia发布的报告显示：“自其最初发布近四年来，仍有约9万至10万个独特的公共IP地址被感染，每天向我们的沉没服务器发送独特的PlugX请求。在六个月的沉没过程中，我们观察到有超过250万个独特的IP地址与之连接。”

PlugX恶意软件是一种远程访问木马（RAT），自2008年起被多个与中国有关联的高级持续性威胁（APT）组织使用，包括Mustang Panda、Winnti和APT41。当执行数字签名的软件应用程序（如x32dbg调试工具x32dbg.exe）时，该RAT利用DLL侧加载来加载其自己的恶意DLL负载。

攻击者通过修改注册表项和创建计划任务来实现持久性，即使系统重启也能保持访问。

研究人员分析了PlugX通信的加密技术，并发现他们可以向受感染的工作站发送消毒命令。他们提出了两种方法：一种仅清理工作站，另一种消毒USB驱动器。虽然无法完全根除蠕虫，但他们为受影响国家提供了一个“主权消毒过程”以减轻感染。

截至报告发布时，该蠕虫已在全球170多个国家被发现，感染数量超过249.5万例。约15个国家的感染数量占总感染数量的80%以上。

由于开展大规模消毒行动可能面临法律挑战，因此是否启动大规模消毒行动的决定权留给了国家计算机应急响应小组（CERT）、执法机构（LEA）和网络安全主管部门。所谓的“主权消毒”是指这些国家机构从研究人员设置的沉没服务器接收关于其管辖范围内感染情况的数据。然后，他们可以根据对情况的评估来决定是否开始消毒。考虑到跨境互联网连接和其他复杂性，这一流程有助于做出有针对性的响应。

“如前所述，这两种远程消毒方法都存在局限性。首先，蠕虫有能力存在于气隙网络中，这使得这些感染超出了我们的控制范围。其次，也许更值得注意的是，PlugX蠕虫可以在不与工作站连接的情况下长期驻留在受感染的USB设备中。”报告总结道，“因此，无法通过向所有受感染的工作站发出唯一命令来彻底清除这种蠕虫。因此，我们还强烈建议安全编辑人员在工作站端针对这种威胁制定有效的检测规则，以防止未来再次利用这种僵尸网络。”

原文始发于微信公众号（黑猫安全）：法国当局启动杀毒行动，从受感染的主机中根除PLUGX恶意软件