bleepingcomputer網站消息，近日，網絡安全公司Sekoia的研究人員成功接管了一個PlugX惡意軟件變種的命令和控制（C2）服務器，六個月內監測到超過250萬個獨立IP地址的連接。

自去年9月Sekoia公司捕獲了與特定C2服務器相關聯的唯一IP地址以來，這個服務器每天都會收到來自超過170個國家感染主機的9萬多個請求。

通過本次成功接管，Sekoia得以分析網絡流量、繪制感染分布圖、預防對客戶的惡意利用，并制定出有效的清除計劃。

接管PlugX服務器

網絡安全公司Sekoia的研究人員僅以7美元的價格購買了一個不再被威脅行為者使用的PlugX惡意軟件變種的C2服務器相對應的IP地址45.142.166[.]112。

該C2 IP地址在2023年3月Sophos發布的一份報告中有所記錄，報告提到PlugX的新版本已經傳播到了"幾乎相距半個地球的地方"。并且，該惡意軟件已經具備了通過 USB 設備自我傳播的能力。

在Seqoia與托管公司聯系并請求控制該IP后，研究人員獲得了使用該IP服務器的shell訪問權限。

為模仿原C2服務器的行為，研究人員建立了一個簡單的Web服務器，幫助分析人員捕獲來自被感染主機的HTTP請求并觀察流量的變化。

通過這一操作，研究人員發現每天有9萬到10萬臺系統發送請求，而且在六個月的時間里，有超過250萬個獨特IP地址從世界各地連接到服務器。

特定PlugX變種的感染情況（圖片來源：Sekoia）

雖然該蠕蟲病毒傳播到了170個國家，但其中只有15個國家的感染數占到了總感染數的80%以上，尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國位于名單的前列。

研究人員強調，被接管的PlugX C2服務器沒有獨特的標識符，這導致對感染主機數量的統計不夠可靠：

• 許多被入侵的工作站可能通過同一個IP地址退出
• 由于動態IP地址分配，一個感染系統可以使用多個IP地址進行連接
• 許多連接是通過VPN服務進行的，這可能使得來源國家變得無關緊要

Sekoia公司認為，惡意軟件活動已經持續了四年，它有足夠的時間在全球范圍內擴散。

10萬個活躍感染案例集的國家百分比（圖片來源：Sekoia）

多年來，PlugX惡意軟件已經變成了一種常用工具，并被各種威脅行為者使用，其中一些行為者參與了以經濟利益為動機的活動，如勒索軟件。

清除挑戰

Sekoia公司針對PlugX惡意軟件的清除工作提出了兩種策略，并呼吁國家網絡安全團隊和執法機構加入其中。

• 自刪除命令：利用PlugX自帶的自刪除功能，無需額外操作即可將其從受感染的計算機中移除。需要注意的是，盡管移除了惡意軟件，但由于PlugX能通過USB設備傳播，存在再次感染的風險。
• 定制有效載荷：開發并部署一個定制的有效載荷到感染的計算機上，清除系統中和連接到這些計算機的受感染USB驅動器中的PlugX。

Sekoia還強調了清除工作的法律復雜性，并提出向國家計算機應急響應團隊（CERT）提供必要的信息，以便他們能夠執行所謂的“主權消毒”，避免跨國界的法律問題。

Sekoia指出，對于已經被PlugX影響的隔離網絡和未連接的受感染USB驅動器，目前的清除方法無法觸及。不過，由于惡意軟件操作者已經失去了控制權，使用被接管版本的PlugX構建的僵尸網絡可以被視為“已死亡”。

但是，任何具備攔截能力的人，或者能夠控制C2服務器的人，都可能通過向受感染主機發送任意命令來重新激活僵尸網絡，用于惡意目的。

PlugX背景

自2008年以來，PlugX主要被用于間諜活動和遠程訪問操作，通常針對政府、國防、技術和政治組織，最初主要在亞洲，后來擴展到西方。

隨著時間的推移，PlugX的構建工具出現在公共領域，一些研究人員認為該惡意軟件的源代碼在2015年左右被泄露。這一事件以及該工具接受了多次更新，很難將PlugX歸因于特定的行為者或議程。

該惡意軟件功能廣泛，包括命令執行、上傳和下載文件、記錄擊鍵和訪問系統信息等。

PlugX的一個近期變種具有蠕蟲組件，能夠通過感染可移動驅動器（如USB閃存驅動器）自主傳播，并有可能到達隔離網絡系統。