bleepingcomputer網(wǎng)站消息，近日，網(wǎng)絡(luò)安全公司Sekoia的研究人員成功接管了一個(gè)PlugX惡意軟件變種的命令和控制（C2）服務(wù)器，六個(gè)月內(nèi)監(jiān)測(cè)到超過(guò)250萬(wàn)個(gè)獨(dú)立IP地址的連接。

自去年9月Sekoia公司捕獲了與特定C2服務(wù)器相關(guān)聯(lián)的唯一IP地址以來(lái)，這個(gè)服務(wù)器每天都會(huì)收到來(lái)自超過(guò)170個(gè)國(guó)家感染主機(jī)的9萬(wàn)多個(gè)請(qǐng)求。

通過(guò)本次成功接管，Sekoia得以分析網(wǎng)絡(luò)流量、繪制感染分布圖、預(yù)防對(duì)客戶的惡意利用，并制定出有效的清除計(jì)劃。

接管PlugX服務(wù)器

網(wǎng)絡(luò)安全公司Sekoia的研究人員僅以7美元的價(jià)格購(gòu)買了一個(gè)不再被威脅行為者使用的PlugX惡意軟件變種的C2服務(wù)器相對(duì)應(yīng)的IP地址45.142.166[.]112。

該C2 IP地址在2023年3月Sophos發(fā)布的一份報(bào)告中有所記錄，報(bào)告提到PlugX的新版本已經(jīng)傳播到了"幾乎相距半個(gè)地球的地方"。并且，該惡意軟件已經(jīng)具備了通過(guò) USB 設(shè)備自我傳播的能力。

在Seqoia與托管公司聯(lián)系并請(qǐng)求控制該IP后，研究人員獲得了使用該IP服務(wù)器的shell訪問(wèn)權(quán)限。

為模仿原C2服務(wù)器的行為，研究人員建立了一個(gè)簡(jiǎn)單的Web服務(wù)器，幫助分析人員捕獲來(lái)自被感染主機(jī)的HTTP請(qǐng)求并觀察流量的變化。

通過(guò)這一操作，研究人員發(fā)現(xiàn)每天有9萬(wàn)到10萬(wàn)臺(tái)系統(tǒng)發(fā)送請(qǐng)求，而且在六個(gè)月的時(shí)間里，有超過(guò)250萬(wàn)個(gè)獨(dú)特IP地址從世界各地連接到服務(wù)器。

特定PlugX變種的感染情況（圖片來(lái)源：Sekoia）

雖然該蠕蟲病毒傳播到了170個(gè)國(guó)家，但其中只有15個(gè)國(guó)家的感染數(shù)占到了總感染數(shù)的80%以上，尼日利亞、印度、中國(guó)、伊朗、印度尼西亞、英國(guó)、伊拉克和美國(guó)位于名單的前列。

研究人員強(qiáng)調(diào)，被接管的PlugX C2服務(wù)器沒(méi)有獨(dú)特的標(biāo)識(shí)符，這導(dǎo)致對(duì)感染主機(jī)數(shù)量的統(tǒng)計(jì)不夠可靠：

• 許多被入侵的工作站可能通過(guò)同一個(gè)IP地址退出
• 由于動(dòng)態(tài)IP地址分配，一個(gè)感染系統(tǒng)可以使用多個(gè)IP地址進(jìn)行連接
• 許多連接是通過(guò)VPN服務(wù)進(jìn)行的，這可能使得來(lái)源國(guó)家變得無(wú)關(guān)緊要

Sekoia公司認(rèn)為，惡意軟件活動(dòng)已經(jīng)持續(xù)了四年，它有足夠的時(shí)間在全球范圍內(nèi)擴(kuò)散。

10萬(wàn)個(gè)活躍感染案例集的國(guó)家百分比（圖片來(lái)源：Sekoia）

多年來(lái)，PlugX惡意軟件已經(jīng)變成了一種常用工具，并被各種威脅行為者使用，其中一些行為者參與了以經(jīng)濟(jì)利益為動(dòng)機(jī)的活動(dòng)，如勒索軟件。

清除挑戰(zhàn)

Sekoia公司針對(duì)PlugX惡意軟件的清除工作提出了兩種策略，并呼吁國(guó)家網(wǎng)絡(luò)安全團(tuán)隊(duì)和執(zhí)法機(jī)構(gòu)加入其中。

• 自刪除命令：利用PlugX自帶的自刪除功能，無(wú)需額外操作即可將其從受感染的計(jì)算機(jī)中移除。需要注意的是，盡管移除了惡意軟件，但由于PlugX能通過(guò)USB設(shè)備傳播，存在再次感染的風(fēng)險(xiǎn)。
• 定制有效載荷：開發(fā)并部署一個(gè)定制的有效載荷到感染的計(jì)算機(jī)上，清除系統(tǒng)中和連接到這些計(jì)算機(jī)的受感染USB驅(qū)動(dòng)器中的PlugX。

Sekoia還強(qiáng)調(diào)了清除工作的法律復(fù)雜性，并提出向國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（CERT）提供必要的信息，以便他們能夠執(zhí)行所謂的“主權(quán)消毒”，避免跨國(guó)界的法律問(wèn)題。

Sekoia指出，對(duì)于已經(jīng)被PlugX影響的隔離網(wǎng)絡(luò)和未連接的受感染USB驅(qū)動(dòng)器，目前的清除方法無(wú)法觸及。不過(guò)，由于惡意軟件操作者已經(jīng)失去了控制權(quán)，使用被接管版本的PlugX構(gòu)建的僵尸網(wǎng)絡(luò)可以被視為“已死亡”。

但是，任何具備攔截能力的人，或者能夠控制C2服務(wù)器的人，都可能通過(guò)向受感染主機(jī)發(fā)送任意命令來(lái)重新激活僵尸網(wǎng)絡(luò)，用于惡意目的。

PlugX背景

自2008年以來(lái)，PlugX主要被用于間諜活動(dòng)和遠(yuǎn)程訪問(wèn)操作，通常針對(duì)政府、國(guó)防、技術(shù)和政治組織，最初主要在亞洲，后來(lái)擴(kuò)展到西方。

隨著時(shí)間的推移，PlugX的構(gòu)建工具出現(xiàn)在公共領(lǐng)域，一些研究人員認(rèn)為該惡意軟件的源代碼在2015年左右被泄露。這一事件以及該工具接受了多次更新，很難將PlugX歸因于特定的行為者或議程。

該惡意軟件功能廣泛，包括命令執(zhí)行、上傳和下載文件、記錄擊鍵和訪問(wèn)系統(tǒng)信息等。

PlugX的一個(gè)近期變種具有蠕蟲組件，能夠通過(guò)感染可移動(dòng)驅(qū)動(dòng)器（如USB閃存驅(qū)動(dòng)器）自主傳播，并有可能到達(dá)隔離網(wǎng)絡(luò)系統(tǒng)。