信息化觀察網(wǎng)

本文來自搜狐網(wǎng)，作者/布加迪。

安全研究人員近日分析了PlugX惡意軟件的一個(gè)變種，這個(gè)變種可以將惡意文件隱藏在可移動USB設(shè)備上，然后伺機(jī)感染USB設(shè)備所連接的Windows主機(jī)。

這種惡意軟件使用了研究人員所說的“一種新穎技術(shù)”，可以讓它在較長時(shí)間內(nèi)不被發(fā)現(xiàn)，并且有可能傳播到嚴(yán)加保護(hù)的系統(tǒng)。

派拓網(wǎng)絡(luò)公司（Palo Alto Network）的Unit 42團(tuán)隊(duì)在響應(yīng)Black Basta勒索軟件攻擊時(shí)發(fā)現(xiàn)了這個(gè)PlugX變種的樣本，而Black Basta勒索軟件攻擊依賴GootLoader和Brute Ratel后利用（post-exploitation）工具包用于紅隊(duì)攻擊活動。

Unit 42團(tuán)隊(duì)在尋找類似的樣本時(shí)還在Virus Total掃描平臺上發(fā)現(xiàn)了PlugX的一個(gè)變種，它可以找到受攻擊系統(tǒng)上的敏感文件，并將它們復(fù)制到USB驅(qū)動器上的一個(gè)隱藏文件夾中。

將PluxX隱藏在USB驅(qū)動器中

PlugX是一種頗有些年頭的惡意軟件，至少從2008年開始使用，最初只被亞洲的黑客組織使用。如今其中一些黑客組織將其與數(shù)字簽名軟件結(jié)合使用，以便側(cè)加載加密的攻擊載荷。

然而隨著時(shí)間的推移，PlugX變得極其廣泛，多個(gè)威脅組織在攻擊中采用了它，因而對其的使用進(jìn)行追根溯源顯得困難重重。

在Unix 42團(tuán)隊(duì)觀察到的近期攻擊中，威脅分子使用了“x64dbg.exe”這個(gè)Windows調(diào)試工具的32位版本和“x32bridge.dll”被投毒的版本，后者加載PlugX攻擊載荷（x32bridge.dat）。

圖1.感染鏈?zhǔn)疽鈭D（圖片來源：Unit 42團(tuán)隊(duì)）

撰寫本文時(shí)，Virus Total掃描平臺上的大多數(shù)防病毒引擎都并未將該文件標(biāo)記為惡意文件，61個(gè)產(chǎn)品中只有9個(gè)檢測出了它。

圖2.VirusTotal掃描結(jié)果（圖片來源：BleepingComputer.com）

PlugX惡意軟件的最近樣本被Virus Total上數(shù)量更少的防病毒引擎檢測出來。其中一個(gè)樣本（去年8月份添加）目前僅被該平臺上的三個(gè)產(chǎn)品標(biāo)記為是威脅。很顯然，實(shí)時(shí)安全代理依賴多種檢測技術(shù)，這些技術(shù)查找由系統(tǒng)上的文件生成的惡意活動。

研究人員解釋道，他們遇到的PlugX版本使用Unicode字符在被檢測的USB驅(qū)動器中創(chuàng)建一個(gè)新目錄，這使得它們在Windows資源管理器和命令shell中不可見。這些目錄在Linux上是可見的，但在Windows系統(tǒng)上隱藏起來。

Unit 42團(tuán)隊(duì)稱：“惡意軟件為了實(shí)現(xiàn)從隱藏的目錄執(zhí)行代碼，在USB設(shè)備的根文件夾上創(chuàng)建了一個(gè)Windows快捷方式（.lnk）文件。”

“惡意軟件的這個(gè)快捷路徑含有Unicode空白字符，這是一個(gè)不會導(dǎo)致斷行，但在通過Windows資源管理器查看時(shí)不可見的空格。”

惡意軟件在隱藏目錄上創(chuàng)建一個(gè)“desktop.ini”文件，以指定根文件夾上的LNK文件圖標(biāo)，使其看起來像一個(gè)USB驅(qū)動器，以欺騙受害者。與此同時(shí)，“RECYCLER.BIN”子目錄起到了偽裝作用，在USB設(shè)備上存放惡意軟件的副本。

圖3.快捷方式文件屬性（圖片來源：Unit 42團(tuán)隊(duì)）

Sophos研究人員在2020年底分析PlugX的舊版本時(shí)已經(jīng)目睹了這種技術(shù)，不過當(dāng)時(shí)研究的重點(diǎn)是作為執(zhí)行惡意代碼的一種方式的DLL側(cè)加載。

受害者點(diǎn)擊USB設(shè)備根文件夾上的快捷方式文件，該文件通過cmd.exe執(zhí)行x32.exe，從而導(dǎo)致主機(jī)感染上PlugX惡意軟件。

同時(shí)，一個(gè)新的資源管理器窗口將打開，顯示用戶在USB設(shè)備上的文件，使一切看起來很正常。

在PlugX潛入設(shè)備后，它會持續(xù)監(jiān)測新的USB設(shè)備，一旦發(fā)現(xiàn)它們，就企圖感染。

圖4.干凈的USB驅(qū)動器與被感染的USB驅(qū)動器比較（圖片來源：Unit 42團(tuán)隊(duì)）

Unit 42團(tuán)隊(duì)在研究過程中還發(fā)現(xiàn)了PlugX惡意軟件同樣針對USB驅(qū)動器的的竊取文檔的變種，但這個(gè)變種多了一項(xiàng)本領(lǐng)：可以將PDF和微軟Word文檔復(fù)制到隱藏目錄中一個(gè)名為da520e5的文件夾。

目前還不清楚這伙威脅分子如何從USB驅(qū)動器中獲取這些“從本地向外泄露”的文件，但物理訪問可能是其中一種手段。

雖然PlugX通常與政府撐腰的威脅分子有關(guān)聯(lián)，但這種惡意軟件可以在地下市場上買到，網(wǎng)絡(luò)犯罪分子也使用過它。

Unit 42團(tuán)隊(duì)的研究人員表示，鑒于新的發(fā)展動向使PlugX更難被發(fā)現(xiàn)，因而得以通過可移動驅(qū)動器傳播開來，它有可能進(jìn)入到嚴(yán)加保護(hù)的網(wǎng)絡(luò)。

本文翻譯自：https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/