PlugX恶意软件隐藏在USB设备上，以感染新的Windows主机

安全研究人员近日分析了PlugX恶意软件的一个变种，这个变种可以将恶意文件隐藏在可移动USB设备上，然后伺机感染USB设备所连接的Windows主机。

这种恶意软件使用了研究人员所说的“一种新颖技术”，可以让它在较长时间内不被发现，并且有可能传播到严加保护的系统。

派拓网络公司（Palo Alto Network）的Unit 42团队在响应Black Basta勒索软件攻击时发现了这个PlugX变种的样本，而Black Basta勒索软件攻击依赖GootLoader和Brute Ratel后利用（post-exploitation）工具包用于红队攻击活动。

Unit 42团队在寻找类似的样本时还在Virus Total扫描平台上发现了PlugX的一个变种，它可以找到受攻击系统上的敏感文件，并将它们复制到USB驱动器上的一个隐藏文件夹中。

将PluxX隐藏在USB驱动器中

PlugX是一种颇有些年头的恶意软件，至少从2008年开始使用，最初只被亚洲的黑客组织使用。如今其中一些黑客组织将其与数字签名软件结合使用，以便侧加载加密的攻击载荷。

然而随着时间的推移，PlugX变得极其广泛，多个威胁组织在攻击中采用了它，因而对其的使用进行追根溯源显得困难重重。

在Unix 42团队观察到的近期攻击中，威胁分子使用了“x64dbg.exe”这个Windows调试工具的32位版本和“x32bridge.dll”被投毒的版本，后者加载PlugX攻击载荷（x32bridge.dat）。

图1. 感染链示意图（图片来源：Unit 42团队）

撰写本文时，Virus Total扫描平台上的大多数防病毒引擎都并未将该文件标记为恶意文件，61个产品中只有9个检测出了它。

图2. VirusTotal扫描结果（图片来源：BleepingComputer.com）

PlugX恶意软件的最近样本被Virus Total上数量更少的防病毒引擎检测出来。其中一个样本（去年8月份添加）目前仅被该平台上的三个产品标记为是威胁。很显然，实时安全代理依赖多种检测技术，这些技术查找由系统上的文件生成的恶意活动。

研究人员解释道，他们遇到的PlugX版本使用Unicode字符在被检测的USB驱动器中创建一个新目录，这使得它们在Windows资源管理器和命令shell中不可见。这些目录在Linux上是可见的，但在Windows系统上隐藏起来。

Unit 42团队称：“恶意软件为了实现从隐藏的目录执行代码，在USB设备的根文件夹上创建了一个Windows快捷方式（.lnk）文件。”

“恶意软件的这个快捷路径含有Unicode空白字符，这是一个不会导致断行，但在通过Windows资源管理器查看时不可见的空格。”

恶意软件在隐藏目录上创建一个“desktop.ini”文件，以指定根文件夹上的LNK文件图标，使其看起来像一个USB驱动器，以欺骗受害者。与此同时，“RECYCLER.BIN”子目录起到了伪装作用，在USB设备上存放恶意软件的副本。

图3. 快捷方式文件属性（图片来源：Unit 42团队）

Sophos研究人员在2020年底分析PlugX的旧版本时已经目睹了这种技术，不过当时研究的重点是作为执行恶意代码的一种方式的DLL侧加载。

受害者点击USB设备根文件夹上的快捷方式文件，该文件通过cmd.exe执行x32.exe，从而导致主机感染上PlugX恶意软件。

同时，一个新的资源管理器窗口将打开，显示用户在USB设备上的文件，使一切看起来很正常。

在PlugX潜入设备后，它会持续监测新的USB设备，一旦发现它们，就企图感染。

图4. 干净的USB驱动器与被感染的USB驱动器比较（图片来源：Unit 42团队）

Unit 42团队在研究过程中还发现了PlugX恶意软件同样针对USB驱动器的的窃取文档的变种，但这个变种多了一项本领：可以将PDF和微软Word文档复制到隐藏目录中一个名为da520e5的文件夹。

目前还不清楚这伙威胁分子如何从USB驱动器中获取这些“从本地向外泄露”的文件，但物理访问可能是其中一种手段。

虽然PlugX通常与政府撑腰的威胁分子有关联，但这种恶意软件可以在地下市场上买到，网络犯罪分子也使用过它。

Unit 42团队的研究人员表示，鉴于新的发展动向使PlugX更难被发现，因而得以通过可移动驱动器传播开来，它有可能进入到严加保护的网络。