安全研究人员近日分析了PlugX恶意软件的一个变种,这个变种可以将恶意文件隐藏在可移动USB设备上,然后伺机感染USB设备所连接的Windows主机。
这种恶意软件使用了研究人员所说的“一种新颖技术”,可以让它在较长时间内不被发现,并且有可能传播到严加保护的系统。
派拓网络公司(Palo Alto Network)的Unit 42团队在响应Black Basta勒索软件攻击时发现了这个PlugX变种的样本,而Black Basta勒索软件攻击依赖GootLoader和Brute Ratel后利用(post-exploitation)工具包用于红队攻击活动。
Unit 42团队在寻找类似的样本时还在Virus Total扫描平台上发现了PlugX的一个变种,它可以找到受攻击系统上的敏感文件,并将它们复制到USB驱动器上的一个隐藏文件夹中。
将PluxX隐藏在USB驱动器中
PlugX是一种颇有些年头的恶意软件,至少从2008年开始使用,最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用,以便侧加载加密的攻击载荷。
然而随着时间的推移,PlugX变得极其广泛,多个威胁组织在攻击中采用了它,因而对其的使用进行追根溯源显得困难重重。
在Unix 42团队观察到的近期攻击中,威胁分子使用了“x64dbg.exe”这个Windows调试工具的32位版本和“x32bridge.dll”被投毒的版本,后者加载PlugX攻击载荷(x32bridge.dat)。
图1. 感染链示意图(图片来源:Unit 42团队)
撰写本文时,Virus Total扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件,61个产品中只有9个检测出了它。
图2. VirusTotal扫描结果(图片来源:BleepingComputer.com)
PlugX恶意软件的最近样本被Virus Total上数量更少的防病毒引擎检测出来。其中一个样本(去年8月份添加)目前仅被该平台上的三个产品标记为是威胁。很显然,实时安全代理依赖多种检测技术,这些技术查找由系统上的文件生成的恶意活动。
研究人员解释道,他们遇到的PlugX版本使用Unicode字符在被检测的USB驱动器中创建一个新目录,这使得它们在Windows资源管理器和命令shell中不可见。这些目录在Linux上是可见的,但在Windows系统上隐藏起来。
Unit 42团队称:“恶意软件为了实现从隐藏的目录执行代码,在USB设备的根文件夹上创建了一个Windows快捷方式(.lnk)文件。”
“恶意软件的这个快捷路径含有Unicode空白字符,这是一个不会导致断行,但在通过Windows资源管理器查看时不可见的空格。”
恶意软件在隐藏目录上创建一个“desktop.ini”文件,以指定根文件夹上的LNK文件图标,使其看起来像一个USB驱动器,以欺骗受害者。与此同时,“RECYCLER.BIN”子目录起到了伪装作用,在USB设备上存放恶意软件的副本。
图3. 快捷方式文件属性(图片来源:Unit 42团队)
Sophos研究人员在2020年底分析PlugX的旧版本时已经目睹了这种技术,不过当时研究的重点是作为执行恶意代码的一种方式的DLL侧加载。
受害者点击USB设备根文件夹上的快捷方式文件,该文件通过cmd.exe执行x32.exe,从而导致主机感染上PlugX恶意软件。
同时,一个新的资源管理器窗口将打开,显示用户在USB设备上的文件,使一切看起来很正常。
在PlugX潜入设备后,它会持续监测新的USB设备,一旦发现它们,就企图感染。
图4. 干净的USB驱动器与被感染的USB驱动器比较(图片来源:Unit 42团队)
Unit 42团队在研究过程中还发现了PlugX恶意软件同样针对USB驱动器的的窃取文档的变种,但这个变种多了一项本领:可以将PDF和微软Word文档复制到隐藏目录中一个名为da520e5的文件夹。
目前还不清楚这伙威胁分子如何从USB驱动器中获取这些“从本地向外泄露”的文件,但物理访问可能是其中一种手段。
虽然PlugX通常与政府撑腰的威胁分子有关联,但这种恶意软件可以在地下市场上买到,网络犯罪分子也使用过它。
Unit 42团队的研究人员表示,鉴于新的发展动向使PlugX更难被发现,因而得以通过可移动驱动器传播开来,它有可能进入到严加保护的网络。
参考及来源:https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/