“这个文件是一个合法的Windows开源调试器工具,通常用于检查内核模式和用户模式代码,故障转储或CPU寄存器,”趋势科技研究人员Buddy Tancio,Jed Valderama和Catherine Loveria在上周发表的一份报告中说。
根据当时的趋势科技报告,尽管十年前的 2012 年首次记录了恶意软件的早期样本,但最早的恶意软件样本可以追溯到 2008 年 。多年来,PlugX 一直被与中国有联系的威胁行为者以及网络犯罪集团使用。
恶意软件采用的关键方法之一是 DLL 旁加载技术,用于从数字签名的软件应用程序(在本例中为 x64dbg 调试工具 (x32dbg.exe)加载恶意 DLL。
这里值得注意的是,DLL 旁加载攻击利用 Windows 中的 DLL 搜索顺序机制来植入然后调用执行恶意有效负载的合法应用程序。
“作为一个合法的应用程序,x32dbg.exe的有效数字签名可能会混淆一些安全工具,使威胁行为者能够在雷达下飞行,保持持久性,提升权限并绕过文件执行限制,”研究人员说。
上个月,Palo Alto Networks Unit 64披露了劫持x42dbg以加载PlugX的事件,该部门发现了恶意软件的新变种,该恶意软件将恶意文件隐藏在可移动USB设备上,以将感染传播到其他Windows主机。
持久性是通过 Windows 注册表修改和创建计划任务来实现的,以确保即使在系统重新启动后也能继续访问。
趋势科技对攻击链的分析还揭示了使用 x32dbg.exe 来部署后门,这是一种 UDP shell 客户端,用于收集系统信息并等待来自远程服务器的其他指令。
“尽管安全技术取得了进步,但攻击者继续使用[DLL旁加载],因为它利用了对合法应用程序的基本信任,”研究人员说。
“只要系统和应用程序继续信任和加载动态库,这种技术对于攻击者来说仍然是可行的,以提供恶意软件并访问敏感信息。
