StripedFly - en kompleks malware, der undgik detektion i årevis
StripedFly, som oprindeligt antages at være en simpel cryptocurrency-mining-malware, har vist sig at være en meget sofistikeret spionageplatform designet til både Windows- og Linux-systemer, med et svimlende antal på over 1 million inficerede ofre.
Da StripedFly først blev identificeret i 2017, blev det fejlagtigt afvist som en relativt ineffektiv krypto-mining-malware. Imidlertid har det siden afsløret sig selv som en kompleks modulær malware, der gør det muligt for cyberangribere at opretholde en vedvarende tilstedeværelse i netværk, få omfattende synlighed i deres operationer og eksfiltrere data efter behov. Selvom det faktisk kan udvinde Monero cryptocurrency, går dets muligheder langt ud over dette, som opdaget af sikkerhedsforskere, der gennemførte en grundig undersøgelse, før de delte deres resultater.
I det væsentlige betragtes StripedFly nu som et fremragende eksempel på avanceret persistent trussel (APT) malware. Den inkluderer en indlejret Tor-netværkstunnel til kommunikation med kommando-og-kontrol-servere (C2) og har opdaterings- og leveringsmekanismer gennem pålidelige platforme som GitLab, GitHub og Bitbucket, alle med brugerdefinerede krypterede arkiver.
Desuden har forskere observeret, at StripedFly allerede har inficeret mere end 1 million systemer. De indhentede disse oplysninger fra et Bitbucket-depot, der er knyttet til malwaren, oprettet den 21. juni 2018 under kontoen af en person, der bruger navnet Julie Heilman. Det faktum, at det har været uopdaget i omkring seks år, er særligt forbløffende.
StripedFly's Internals
StrippedFlys struktur består af en monolitisk binær eksekverbar kode med pluggbare moduler, der tillader angribere at udvide eller forbedre dens funktionalitet. Hvert modul administrerer sin egen tilbagekaldsfunktion til kommunikation med en C2-server.
Efter at have infiltreret et netværk, vises StripedFly i første omgang som PowerShell, ved at bruge en server message block (SMB) udnyttelse, som ser ud til at være en tilpasset version af EternalBlue (lækket i april 2017) til at gå ind i upatchede Windows-servere.
Malwaren anvender forskellige persistensmetoder baseret på faktorer som tilgængeligheden af PowerShell-fortolkeren og procesprivilegier. Generelt kører malwaren med administrative rettigheder, når den installeres gennem udnyttelsen, og med privilegier på brugerniveau, når den leveres via Cygwin SSH-serveren.
Med hensyn til moduler har StripedFly tre servicemoduler til konfigurationslagring, malware-opdateringer og fjernelse samt en omvendt proxy. Derudover er der seks funktionalitetsmoduler, der muliggør en række funktioner for angribere. Disse moduler inkluderer en diverse kommandobehandler, en legitimationshøster, gentagelige opgaver til at tage skærmbilleder og optage mikrofoninput, et rekognosceringsmodul til kompilering af systemoplysninger, SMBv1- og SSH-infektorer til penetration og ormlignende funktioner.
Forskere har også identificeret en relateret ransomware-variant ved navn ThunderCrypt, som deler den samme underliggende kodebase og kommunikerer med den samme C2-server som StripedFly.
