自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

PlugX又有新變種,感染250萬個服務(wù)器

作者:瘋狂冰淇凌
安全
多年來,PlugX惡意軟件已經(jīng)變成了一種常用工具,并被各種威脅行為者使用,其中一些行為者參與了以經(jīng)濟利益為動機的活動,如勒索軟件。

bleepingcomputer網(wǎng)站消息,近日,網(wǎng)絡(luò)安全公司Sekoia的研究人員成功接管了一個PlugX惡意軟件變種的命令和控制(C2)服務(wù)器,六個月內(nèi)監(jiān)測到超過250萬個獨立IP地址的連接。

自去年9月Sekoia公司捕獲了與特定C2服務(wù)器相關(guān)聯(lián)的唯一IP地址以來,這個服務(wù)器每天都會收到來自超過170個國家感染主機的9萬多個請求。

通過本次成功接管,Sekoia得以分析網(wǎng)絡(luò)流量、繪制感染分布圖、預(yù)防對客戶的惡意利用,并制定出有效的清除計劃。

接管PlugX服務(wù)器

網(wǎng)絡(luò)安全公司Sekoia的研究人員僅以7美元的價格購買了一個不再被威脅行為者使用的PlugX惡意軟件變種的C2服務(wù)器相對應(yīng)的IP地址45.142.166[.]112。

該C2 IP地址在2023年3月Sophos發(fā)布的一份報告中有所記錄,報告提到PlugX的新版本已經(jīng)傳播到了"幾乎相距半個地球的地方"。并且,該惡意軟件已經(jīng)具備了通過 USB 設(shè)備自我傳播的能力。

在Seqoia與托管公司聯(lián)系并請求控制該IP后,研究人員獲得了使用該IP服務(wù)器的shell訪問權(quán)限。

為模仿原C2服務(wù)器的行為,研究人員建立了一個簡單的Web服務(wù)器,幫助分析人員捕獲來自被感染主機的HTTP請求并觀察流量的變化。

通過這一操作,研究人員發(fā)現(xiàn)每天有9萬到10萬臺系統(tǒng)發(fā)送請求,而且在六個月的時間里,有超過250萬個獨特IP地址從世界各地連接到服務(wù)器。

特定PlugX變種的感染情況(圖片來源:Sekoia)

雖然該蠕蟲病毒傳播到了170個國家,但其中只有15個國家的感染數(shù)占到了總感染數(shù)的80%以上,尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國位于名單的前列。

研究人員強調(diào),被接管的PlugX C2服務(wù)器沒有獨特的標識符,這導(dǎo)致對感染主機數(shù)量的統(tǒng)計不夠可靠:

  • 許多被入侵的工作站可能通過同一個IP地址退出
  • 由于動態(tài)IP地址分配,一個感染系統(tǒng)可以使用多個IP地址進行連接
  • 許多連接是通過VPN服務(wù)進行的,這可能使得來源國家變得無關(guān)緊要

Sekoia公司認為,惡意軟件活動已經(jīng)持續(xù)了四年,它有足夠的時間在全球范圍內(nèi)擴散。

10萬個活躍感染案例集的國家百分比(圖片來源:Sekoia)

多年來,PlugX惡意軟件已經(jīng)變成了一種常用工具,并被各種威脅行為者使用,其中一些行為者參與了以經(jīng)濟利益為動機的活動,如勒索軟件。

清除挑戰(zhàn)

Sekoia公司針對PlugX惡意軟件的清除工作提出了兩種策略,并呼吁國家網(wǎng)絡(luò)安全團隊和執(zhí)法機構(gòu)加入其中。

  • 自刪除命令:利用PlugX自帶的自刪除功能,無需額外操作即可將其從受感染的計算機中移除。需要注意的是,盡管移除了惡意軟件,但由于PlugX能通過USB設(shè)備傳播,存在再次感染的風險。
  • 定制有效載荷:開發(fā)并部署一個定制的有效載荷到感染的計算機上,清除系統(tǒng)中和連接到這些計算機的受感染USB驅(qū)動器中的PlugX。

Sekoia還強調(diào)了清除工作的法律復(fù)雜性,并提出向國家計算機應(yīng)急響應(yīng)團隊(CERT)提供必要的信息,以便他們能夠執(zhí)行所謂的“主權(quán)消毒”,避免跨國界的法律問題。

Sekoia指出,對于已經(jīng)被PlugX影響的隔離網(wǎng)絡(luò)和未連接的受感染USB驅(qū)動器,目前的清除方法無法觸及。不過,由于惡意軟件操作者已經(jīng)失去了控制權(quán),使用被接管版本的PlugX構(gòu)建的僵尸網(wǎng)絡(luò)可以被視為“已死亡”。

但是,任何具備攔截能力的人,或者能夠控制C2服務(wù)器的人,都可能通過向受感染主機發(fā)送任意命令來重新激活僵尸網(wǎng)絡(luò),用于惡意目的。

PlugX背景

自2008年以來,PlugX主要被用于間諜活動和遠程訪問操作,通常針對政府、國防、技術(shù)和政治組織,最初主要在亞洲,后來擴展到西方。

隨著時間的推移,PlugX的構(gòu)建工具出現(xiàn)在公共領(lǐng)域,一些研究人員認為該惡意軟件的源代碼在2015年左右被泄露。這一事件以及該工具接受了多次更新,很難將PlugX歸因于特定的行為者或議程。

該惡意軟件功能廣泛,包括命令執(zhí)行、上傳和下載文件、記錄擊鍵和訪問系統(tǒng)信息等。

PlugX的一個近期變種具有蠕蟲組件,能夠通過感染可移動驅(qū)動器(如USB閃存驅(qū)動器)自主傳播,并有可能到達隔離網(wǎng)絡(luò)系統(tǒng)。

責任編輯:趙寧寧 來源: FreeBuf
惡意軟件網(wǎng)絡(luò)攻擊
相關(guān)推薦

2012-02-24 10:07:25

2010-05-04 22:32:37

手機木馬網(wǎng)絡(luò)安全360手機衛(wèi)士

2011-07-25 17:16:05

2014-03-26 10:35:05

2010-05-06 15:52:35

2022-05-16 13:37:12

Sysrv僵尸網(wǎng)絡(luò)微軟

2010-09-10 17:20:31

2013-09-11 15:22:17

銀行木馬Hesperbot

2020-04-06 08:54:04

網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全數(shù)據(jù)安全

2024-05-15 15:16:56

2023-02-17 18:29:09

2015-03-03 10:18:27

2023-08-30 12:21:03

2012-07-06 15:07:45

華為Tecal服務(wù)器

2009-06-24 14:26:37

2009-10-21 10:55:01

2015-05-05 11:27:01

2022-05-25 14:07:35

KubernetesAPI服務(wù)器

2009-02-27 13:48:00

Mdaemon郵件服務(wù)器

2010-04-20 00:10:42

點贊
收藏

51CTO技術(shù)棧公眾號