FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

bleepingcomputer网站消息，近日，网络安全公司Sekoia的研究人员成功接管了一个PlugX恶意软件变种的命令和控制（C2）服务器，六个月内监测到超过250万个独立IP地址的连接。

自去年9月Sekoia公司捕获了与特定C2服务器相关联的唯一IP地址以来，这个服务器每天都会收到来自超过170个国家感染主机的9万多个请求。

通过本次成功接管，Sekoia得以分析网络流量、绘制感染分布图、预防对客户的恶意利用，并制定出有效的清除计划。

接管PlugX服务器

网络安全公司Sekoia的研究人员仅以7美元的价格购买了一个不再被威胁行为者使用的PlugX恶意软件变种的C2服务器相对应的IP地址45.142.166[.]112。

该C2 IP地址在2023年3月Sophos发布的一份报告中有所记录，报告提到PlugX的新版本已经传播到了"几乎相距半个地球的地方"。并且，该恶意软件已经具备了通过 USB 设备自我传播的能力。

在Seqoia与托管公司联系并请求控制该IP后，研究人员获得了使用该IP服务器的shell访问权限。

为模仿原C2服务器的行为，研究人员建立了一个简单的Web服务器，帮助分析人员捕获来自被感染主机的HTTP请求并观察流量的变化。

通过这一操作，研究人员发现每天有9万到10万台系统发送请求，而且在六个月的时间里，有超过250万个独特IP地址从世界各地连接到服务器。

特定PlugX变种的感染情况（图片来源：Sekoia）

虽然该蠕虫病毒传播到了170个国家，但其中只有15个国家的感染数占到了总感染数的80%以上，尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国位于名单的前列。

研究人员强调，被接管的PlugX C2服务器没有独特的标识符，这导致对感染主机数量的统计不够可靠：

• 许多被入侵的工作站可能通过同一个IP地址退出
• 由于动态IP地址分配，一个感染系统可以使用多个IP地址进行连接
• 许多连接是通过VPN服务进行的，这可能使得来源国家变得无关紧要

Sekoia公司认为，恶意软件活动已经持续了四年，它有足够的时间在全球范围内扩散。

10万个活跃感染案例集的国家百分比（图片来源：Sekoia）

多年来，PlugX恶意软件已经变成了一种常用工具，并被各种威胁行为者使用，其中一些行为者参与了以经济利益为动机的活动，如勒索软件。

清除挑战

Sekoia公司针对PlugX恶意软件的清除工作提出了两种策略，并呼吁国家网络安全团队和执法机构加入其中。

1. 自删除命令：利用PlugX自带的自删除功能，无需额外操作即可将其从受感染的计算机中移除。需要注意的是，尽管移除了恶意软件，但由于PlugX能通过USB设备传播，存在再次感染的风险。

2. 定制有效载荷：开发并部署一个定制的有效载荷到感染的计算机上，清除系统中和连接到这些计算机的受感染USB驱动器中的PlugX。

Sekoia还强调了清除工作的法律复杂性，并提出向国家计算机应急响应团队（CERT）提供必要的信息，以便他们能够执行所谓的“主权消毒”，避免跨国界的法律问题。

Sekoia指出，对于已经被PlugX影响的隔离网络和未连接的受感染USB驱动器，目前的清除方法无法触及。不过，由于恶意软件操作者已经失去了控制权，使用被接管版本的PlugX构建的僵尸网络可以被视为“已死亡”。

但是，任何具备拦截能力的人，或者能够控制C2服务器的人，都可能通过向受感染主机发送任意命令来重新激活僵尸网络，用于恶意目的。

PlugX背景

自2008年以来，PlugX主要被用于间谍活动和远程访问操作，通常针对政府、国防、技术和政治组织，最初主要在亚洲，后来扩展到西方。

随着时间的推移，PlugX的构建工具出现在公共领域，一些研究人员认为该恶意软件的源代码在2015年左右被泄露。这一事件以及该工具接受了多次更新，很难将PlugX归因于特定的行为者或议程。

该恶意软件功能广泛，包括命令执行、上传和下载文件、记录击键和访问系统信息等。

PlugX的一个近期变种具有蠕虫组件，能够通过感染可移动驱动器（如USB闪存驱动器）自主传播，并有可能到达隔离网络系统。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022