法國開展全國U盤病毒“消殺”行動
責編:gltian |2024-07-26 16:13:55法國警方與歐洲刑警組織推出大規模U盤消毒方案,可自動清除法國境內設備感染的PlugX僵尸木馬。
近日,法國國家憲兵隊數字犯罪打擊中心(C3N)在法國網絡安全公司Sekoia的協助下,與歐洲刑警組織聯合推出了一款“消毒方案”,該方案能自動從受感染設備中刪除PlugX僵尸網絡木馬。
“孤兒”僵尸網絡在歐洲陰魂不散
據悉,此次行動是在Sekoia公司去年4月接管了一個廣泛分布的PlugX變種病毒的命令與控制(C2)服務器后進行的。PlugX是一款被多個黑客組織長期部署的僵尸網絡遠程訪問木馬,其新變種會根據惡意活動的操作需求進行修改和發布。
Sekoia曾報告稱,一個通過U盤傳播的PlugX變種的僵尸網絡在原始操作者放棄后繼續獨立傳播,感染了近250萬臺設備。Sekoia接管了被遺棄的C2服務器,該服務器在六個月內從170個國家接收了250萬次獨立連接,每天有高達10萬次來自感染主機的ping請求。
自毀式消殺方案
為了防止惡意行為者重新控制僵尸網絡并恢復感染,Sekoia提出了一種清理機制,向感染設備推送自定義的PlugX插件,發出自毀命令將其刪除。此外,研究人員還提出了一種掃描U盤并清除惡意軟件的方法。然而,這種方法也存在風險,自動清理U盤可能會導致U盤損壞或數據無法訪問。
由于這種“自毀式消殺”方案具有侵入性,并可能導致法律問題,研究人員不敢擅自行動,而是選擇與執法部門共享解決方案。Sekoia在4月份的報告中解釋說:“鑒于進行大規模消毒活動可能帶來的潛在法律挑戰,我們決定將是否在各自國家開展大規模消毒工作的決定權留給各國的國家計算機緊急響應小組(CERTs)、執法機構(LEAs)和網絡安全當局自行決定。”
法國趕在奧運前展開“消殺”行動
根據C3N的說法,歐洲刑警組織從Sekoia那里獲得了消毒方案,并正在與合作伙伴國家共享,以便從各自國家的設備中移除惡意軟件。
隨著2024年巴黎奧運會的臨近,法國當局都處于高度警戒狀態,因此在法國發現的3000個系統中存在PlugX的風險被認為是不可接受的。目前除法國外,馬耳他、葡萄牙、克羅地亞、斯洛伐克和奧地利等國的執法機構也正從受感染系統中移除PlugX有效載荷。
消毒行動于2024年7月18日開始,預計將持續數月,可能在2024年底結束。法國信息系統安全局(ANSSI)將逐一通知法國受害者清理過程及潛在影響。
參考鏈接:
https://www.bleepingcomputer.com/news/security/french-police-push-plugx-malware-self-destruct-payload-to-clean-pcs/