PlugX USB 蠕虫通过 DLL 侧加载进化以跨大陆传播

执行摘要

最近记录的PlugX远程访问木马（RAT）变种作为USB蠕虫传播，使用DLL侧加载感染多个大陆的系统。该活动首次于2022年8月在巴布亚新几内亚观察到，并于2023年1月在加纳再次观察到，标志着PlugX投递机制的重大演变，从目标网络入侵转变为基于物理媒介的机会性传播。该蠕虫利用合法的签名驱动程序侧加载恶意DLL，建立持久性并部署二级有效载荷，包括Koadic后期开发框架。

技术分析

Sekoia的研究人员识别出的恶意软件作为一个多阶段感染链，当受害者与受损的USB驱动器交互时启动。主可执行文件是来自Rivet Networks（Killer Network Service）或ASUSTeK Computer Inc.（ASUS Smart Display Control）的合法数字签名驱动程序。这个受信任的二进制文件被配置为加载恶意DLL，这是一种被称为DLL侧加载的技术，可以绕过应用程序允许列表和一些启发式检测。

侧加载的DLL，version.dll，作为第一阶段的有效载荷。它从其资源部分解密并执行第二阶段的shellcode有效载荷。这个shellcode负责在受感染的主机上建立持久性，通常通过创建计划任务或Windows服务来实现。最后，shellcode从一个命令与控制（C2）服务器检索并执行最终的PlugX RAT有效载荷。在一些观察到的案例中，威胁行为者还部署了Koadic框架，这是一个被重新用于后期开发活动的渗透测试工具，如凭证转储和横向移动。该蠕虫还将自身复制到新连接的可移动驱动器上，创建一个autorun.inf文件和恶意二进制文件，以促进进一步传播。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

威胁行为者采用与MITRE ATT&CK框架一致的一系列技术：

• 初始访问（TA0001）：主要向量是可移动媒体（T1091），蠕虫将自己复制到USB驱动器上。
• **执行（TA0002）：通过计划任务（T1053.005）和Windows服务（T1543.003）持久性机制以及来自shellcode的本地API（T1106）**调用来实现执行。
• 防御绕过（TA0005）：该活动严重依赖于使用签名二进制文件的DLL侧加载（T1574.002）和通过加密资源部分的混淆文件或信息（T1027）。
• **持久性（TA0003）：**如上所述，通过计划任务和服务维持持久性。
• **命令与控制（TA0011）：**最终的PlugX有效载荷使用可能加密的通道与C2基础设施通信。

威胁行为者背景

此次活动背后的特定威胁行为者尚未归因。PlugX是一个长期存在的模块化RAT，历史上与中国相关的高级持续威胁（APT）团体有联系，但也被其他行为者观察到使用。它在地理上分散的机会性蠕虫活动中的出现表明，要么是已知团体的战术转变，要么是低级别行为者的采纳。包括Koadic框架，一个开源工具，并没有提供强有力的归因线索。针对巴布亚新几内亚和加纳的目标看起来是广泛的，而不是针对特定部门，这表明可能的网络犯罪或雇佣间谍动机。

缓解措施与建议

组织应实施技术和程序控制，以减轻来自USB携带威胁的风险：

• **禁用Autorun/AutoPlay：**通过组策略实施政策，禁用所有驱动器的Autorun。
• **应用程序允许列表：**部署解决方案，将可执行文件的执行限制在仅批准的签名二进制文件上，这可以破坏DLL侧加载链。
• **增强监控：**监控进程创建事件，其中合法的签名网络或显示驱动程序（例如，来自Killer或ASUS）生成不寻常的子进程或进行网络连接。
• **用户培训：**教育员工使用未知USB驱动器的风险，并强制在所有可移动媒体使用前进行扫描。
• **网络分段：**限制工作站的出站连接，以限制C2通信，并监控向未知外部IP的信标。
• **端点检测和响应（EDR）：**确保EDR工具配置为检测可疑的DLL加载模式和内存中的shellcode执行。