bleepingcomputer网站消息,近日,网络安全公司Sekoia的研究人员成功接管了一个PlugX恶意软件变种的命令和控制(C2)服务器,六个月内监测到超过250万个独立IP地址的连接。
自去年9月Sekoia公司捕获了与特定C2服务器相关联的唯一IP地址以来,这个服务器每天都会收到来自超过170个国家感染主机的9万多个请求。
通过本次成功接管,Sekoia得以分析网络流量、绘制感染分布图、预防对客户的恶意利用,并制定出有效的清除计划。
接管PlugX服务器
网络安全公司Sekoia的研究人员仅以7美元的价格购买了一个不再被威胁行为者使用的PlugX恶意软件变种的C2服务器相对应的IP地址45.142.166[.]112。
该C2 IP地址在2023年3月Sophos发布的一份报告中有所记录,报告提到PlugX的新版本已经传播到了"几乎相距半个地球的地方"。并且,该恶意软件已经具备了通过 USB 设备自我传播的能力。
在Seqoia与托管公司联系并请求控制该IP后,研究人员获得了使用该IP服务器的shell访问权限。
为模仿原C2服务器的行为,研究人员建立了一个简单的Web服务器,帮助分析人员捕获来自被感染主机的HTTP请求并观察流量的变化。
通过这一操作,研究人员发现每天有9万到10万台系统发送请求,而且在六个月的时间里,有超过250万个独特IP地址从世界各地连接到服务器。
特定PlugX变种的感染情况(图片来源:Sekoia)
虽然该蠕虫病毒传播到了170个国家,但其中只有15个国家的感染数占到了总感染数的80%以上,尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国位于名单的前列。
研究人员强调,被接管的PlugX C2服务器没有独特的标识符,这导致对感染主机数量的统计不够可靠:
- 许多被入侵的工作站可能通过同一个IP地址退出
- 由于动态IP地址分配,一个感染系统可以使用多个IP地址进行连接
- 许多连接是通过VPN服务进行的,这可能使得来源国家变得无关紧要
Sekoia公司认为,恶意软件活动已经持续了四年,它有足够的时间在全球范围内扩散。
10万个活跃感染案例集的国家百分比(图片来源:Sekoia)
多年来,PlugX恶意软件已经变成了一种常用工具,并被各种威胁行为者使用,其中一些行为者参与了以经济利益为动机的活动,如勒索软件。
清除挑战
Sekoia公司针对PlugX恶意软件的清除工作提出了两种策略,并呼吁国家网络安全团队和执法机构加入其中。
- 自删除命令:利用PlugX自带的自删除功能,无需额外操作即可将其从受感染的计算机中移除。需要注意的是,尽管移除了恶意软件,但由于PlugX能通过USB设备传播,存在再次感染的风险。
- 定制有效载荷:开发并部署一个定制的有效载荷到感染的计算机上,清除系统中和连接到这些计算机的受感染USB驱动器中的PlugX。
Sekoia还强调了清除工作的法律复杂性,并提出向国家计算机应急响应团队(CERT)提供必要的信息,以便他们能够执行所谓的“主权消毒”,避免跨国界的法律问题。
Sekoia指出,对于已经被PlugX影响的隔离网络和未连接的受感染USB驱动器,目前的清除方法无法触及。不过,由于恶意软件操作者已经失去了控制权,使用被接管版本的PlugX构建的僵尸网络可以被视为“已死亡”。
但是,任何具备拦截能力的人,或者能够控制C2服务器的人,都可能通过向受感染主机发送任意命令来重新激活僵尸网络,用于恶意目的。
PlugX背景
自2008年以来,PlugX主要被用于间谍活动和远程访问操作,通常针对政府、国防、技术和政治组织,最初主要在亚洲,后来扩展到西方。
随着时间的推移,PlugX的构建工具出现在公共领域,一些研究人员认为该恶意软件的源代码在2015年左右被泄露。这一事件以及该工具接受了多次更新,很难将PlugX归因于特定的行为者或议程。
该恶意软件功能广泛,包括命令执行、上传和下载文件、记录击键和访问系统信息等。
PlugX的一个近期变种具有蠕虫组件,能够通过感染可移动驱动器(如USB闪存驱动器)自主传播,并有可能到达隔离网络系统。