安全研究人员分析了 PlugX 恶意软件的一个变体,它可以在可移动 USB 设备上隐藏恶意文件,然后感染它们连接到的 Windows 主机。
该恶意软件使用研究人员称之为“新技术”的技术,使其能够在更长时间内保持不被发现,并有可能传播到气隙系统。
Palo Alto Network 的 Unit 42 团队在响应 Black Basta 勒索软件攻击时发现了这个 PlugX 变体的样本,该攻击依赖于 GootLoader 和 Brute Ratel 开发后工具包进行红队互动。
在寻找类似样本时,Unit 42 还在 Virus Total 上发现了一个 PlugX 变体,它可以在受感染的系统上找到敏感文件,并将它们复制到 USB 驱动器上的一个隐藏文件夹中。
在 USB 驱动器中隐藏 PlugX
PlugX 是一种古老的恶意软件,至少从 2008 年就开始使用,最初仅由中国黑客组织使用 - 其中一些继续将其与经过数字签名的软件一起使用,以旁加载加密的有效负载。
然而,随着时间的推移,它变得如此广泛以至于多个参与者在攻击中采用它,这使得对其使用的归因成为一项非常具有挑战性的任务。
在 Unit 42 观察到的最近攻击中,威胁参与者使用名为“x64dbg.exe”的 32 位版本 Windows 调试工具以及加载 PlugX 负载的中毒版本“x32bridge.dll” (x32bridge.dat)。
PlugX 恶意软件的最新样本被 Virus Total 上更少的防病毒引擎检测到。 其中一个于去年 8 月添加,目前仅被该平台上的三个产品标记为威胁。 显然,实时安全代理依赖于多种检测技术来查找系统文件生成的恶意活动。
研究人员解释说,他们遇到的 PlugX 版本使用 Unicode 字符在检测到的 USB 驱动器中创建一个新目录,这使得它们在 Windows 资源管理器和命令 shell 中不可见。 这些目录在 Linux 上可见,但在 Windows 系统上隐藏。
“为了从隐藏目录执行恶意软件的代码,在 USB 设备的根文件夹中创建了一个 Windows 快捷方式 (.lnk) 文件,”第 42 单元说。
“恶意软件的快捷路径包含 Unicode 空白字符,这是一个不会导致换行但在通过 Windows 资源管理器查看时不可见的空格”- Palo Alto Networks Unit 42
该恶意软件会在隐藏目录中创建一个“desktop.ini”文件,以指定根文件夹中的 LNK 文件图标,使其显示为 USB 驱动器以欺骗受害者。 同时,“RECYCLER.BIN”子目录充当伪装,在 USB 设备上托管恶意软件的副本。
Sophos 研究人员在 2020 年底分析的旧版 PlugX 中发现了这种技术,尽管该报告的重点是 DLL 侧载作为执行恶意代码的一种手段。
受害者点击USB设备根目录下的快捷方式文件,通过cmd.exe执行x32.exe,导致主机感染PlugX恶意软件。
同时,将打开一个新的资源管理器窗口,显示用户在 USB 设备上的文件,一切正常。
PlugX 进入设备后,它会持续监控新的 USB 设备并在发现时尝试感染它们。
在他们的研究过程中,Unit 42 团队还发现了 PlugX 恶意软件的文件窃取变体,它也以 USB 驱动器为目标,但具有将 PDF 和 Microsoft Word 文档复制到隐藏目录中名为 da520e5。
目前尚不清楚威胁行为者如何从 USB 驱动器中检索这些“本地泄露”的文件,但物理访问可能是其中一种方法。
虽然 PlugX 通常与国家支持的威胁行为者相关联,但恶意软件可以在地下市场购买,网络犯罪分子也使用它。
随着新的发展使其更难以检测并允许它通过可移动驱动器传播,Unit 42 研究人员表示 PlugX 有可能跳到气隙网络。
如若转载,请注明出处:https://www.ozabc.com/it/534551.html