bleepingcomputer網(wǎng)站消息，近日，網(wǎng)絡安全公司Sekoia的研究人員成功接管了一個PlugX惡意軟件變種的命令和控制（C2）服務器，六個月內(nèi)監(jiān)測到超過250萬個獨立IP地址的連接。

自去年9月Sekoia公司捕獲了與特定C2服務器相關(guān)聯(lián)的唯一IP地址以來，這個服務器每天都會收到來自超過170個國家感染主機的9萬多個請求。

通過本次成功接管，Sekoia得以分析網(wǎng)絡流量、繪制感染分布圖、預防對客戶的惡意利用，并制定出有效的清除計劃。

接管PlugX服務器

網(wǎng)絡安全公司Sekoia的研究人員僅以7美元的價格購買了一個不再被威脅行為者使用的PlugX惡意軟件變種的C2服務器相對應的IP地址45.142.166[.]112。

該C2 IP地址在2023年3月Sophos發(fā)布的一份報告中有所記錄，報告提到PlugX的新版本已經(jīng)傳播到了"幾乎相距半個地球的地方"。并且，該惡意軟件已經(jīng)具備了通過 USB 設(shè)備自我傳播的能力。

在Seqoia與托管公司聯(lián)系并請求控制該IP后，研究人員獲得了使用該IP服務器的shell訪問權(quán)限。

為模仿原C2服務器的行為，研究人員建立了一個簡單的Web服務器，幫助分析人員捕獲來自被感染主機的HTTP請求并觀察流量的變化。

通過這一操作，研究人員發(fā)現(xiàn)每天有9萬到10萬臺系統(tǒng)發(fā)送請求，而且在六個月的時間里，有超過250萬個獨特IP地址從世界各地連接到服務器。

特定PlugX變種的感染情況（圖片來源：Sekoia）

雖然該蠕蟲病毒傳播到了170個國家，但其中只有15個國家的感染數(shù)占到了總感染數(shù)的80%以上，尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國位于名單的前列。

研究人員強調(diào)，被接管的PlugX C2服務器沒有獨特的標識符，這導致對感染主機數(shù)量的統(tǒng)計不夠可靠：

• 許多被入侵的工作站可能通過同一個IP地址退出
• 由于動態(tài)IP地址分配，一個感染系統(tǒng)可以使用多個IP地址進行連接
• 許多連接是通過VPN服務進行的，這可能使得來源國家變得無關(guān)緊要

Sekoia公司認為，惡意軟件活動已經(jīng)持續(xù)了四年，它有足夠的時間在全球范圍內(nèi)擴散。

10萬個活躍感染案例集的國家百分比（圖片來源：Sekoia）

多年來，PlugX惡意軟件已經(jīng)變成了一種常用工具，并被各種威脅行為者使用，其中一些行為者參與了以經(jīng)濟利益為動機的活動，如勒索軟件。

清除挑戰(zhàn)

Sekoia公司針對PlugX惡意軟件的清除工作提出了兩種策略，并呼吁國家網(wǎng)絡安全團隊和執(zhí)法機構(gòu)加入其中。

• 自刪除命令：利用PlugX自帶的自刪除功能，無需額外操作即可將其從受感染的計算機中移除。需要注意的是，盡管移除了惡意軟件，但由于PlugX能通過USB設(shè)備傳播，存在再次感染的風險。
• 定制有效載荷：開發(fā)并部署一個定制的有效載荷到感染的計算機上，清除系統(tǒng)中和連接到這些計算機的受感染USB驅(qū)動器中的PlugX。

Sekoia還強調(diào)了清除工作的法律復雜性，并提出向國家計算機應急響應團隊（CERT）提供必要的信息，以便他們能夠執(zhí)行所謂的“主權(quán)消毒”，避免跨國界的法律問題。

Sekoia指出，對于已經(jīng)被PlugX影響的隔離網(wǎng)絡和未連接的受感染USB驅(qū)動器，目前的清除方法無法觸及。不過，由于惡意軟件操作者已經(jīng)失去了控制權(quán)，使用被接管版本的PlugX構(gòu)建的僵尸網(wǎng)絡可以被視為“已死亡”。

但是，任何具備攔截能力的人，或者能夠控制C2服務器的人，都可能通過向受感染主機發(fā)送任意命令來重新激活僵尸網(wǎng)絡，用于惡意目的。

PlugX背景

自2008年以來，PlugX主要被用于間諜活動和遠程訪問操作，通常針對政府、國防、技術(shù)和政治組織，最初主要在亞洲，后來擴展到西方。

隨著時間的推移，PlugX的構(gòu)建工具出現(xiàn)在公共領(lǐng)域，一些研究人員認為該惡意軟件的源代碼在2015年左右被泄露。這一事件以及該工具接受了多次更新，很難將PlugX歸因于特定的行為者或議程。

該惡意軟件功能廣泛，包括命令執(zhí)行、上傳和下載文件、記錄擊鍵和訪問系統(tǒng)信息等。

PlugX的一個近期變種具有蠕蟲組件，能夠通過感染可移動驅(qū)動器（如USB閃存驅(qū)動器）自主傳播，并有可能到達隔離網(wǎng)絡系統(tǒng)。