StripedFly – eine komplexe Malware, die sich jahrelang der Entdeckung entzog
Zunächst wurde angenommen, dass es sich um eine einfache Schadsoftware für das Kryptowährungs-Mining handelt, doch inzwischen hat sich Stripe zu einer hochentwickelten Spionageplattform entwickelt, die sowohl für Windows- als auch für Linux-Systeme entwickelt wurde und eine erschreckende Zahl von über 1 Million infizierten Opfern verzeichnet.
Als StripedFly 2017 erstmals identifiziert wurde, wurde es fälschlicherweise als relativ ineffektive Krypto-Mining-Malware abgetan. Inzwischen hat es sich jedoch als komplexe modulare Malware herausgestellt, die es Cyber-Angreifern ermöglicht, dauerhaft in Netzwerken präsent zu bleiben, umfassende Einblicke in ihre Abläufe zu erhalten und bei Bedarf Daten zu exfiltrieren. Obwohl es tatsächlich die Kryptowährung Monero schürfen kann, gehen seine Fähigkeiten weit darüber hinaus, wie Sicherheitsforscher herausgefunden haben, die eine gründliche Untersuchung durchgeführt haben, bevor sie ihre Ergebnisse veröffentlicht haben.
Im Wesentlichen gilt StripedFly heute als Paradebeispiel für APT-Malware (Advanced Persistent Threat). Es umfasst einen eingebetteten Tor-Netzwerktunnel für die Kommunikation mit Command-and-Control-Servern (C2) und bietet Aktualisierungs- und Bereitstellungsmechanismen über vertrauenswürdige Plattformen wie GitLab, GitHub und Bitbucket, alle mit benutzerdefinierten verschlüsselten Archiven.
Darüber hinaus haben Forscher beobachtet, dass StripedFly bereits mehr als 1 Million Systeme infiziert hat. Sie erhielten diese Informationen aus einem Bitbucket-Repository, das mit der Malware verknüpft war, die am 21. Juni 2018 unter dem Konto einer Person namens Julie Heilman erstellt wurde. Besonders erstaunlich ist die Tatsache, dass es rund sechs Jahre lang unentdeckt blieb.
Die Interna von StripedFly
Die Struktur von StrippedFly besteht aus einem monolithischen binären ausführbaren Code mit steckbaren Modulen, der es Angreifern ermöglicht, seine Funktionalität zu erweitern oder zu verbessern. Jedes Modul verwaltet seine eigene Rückruffunktion für die Kommunikation mit einem C2-Server.
Beim Eindringen in ein Netzwerk erscheint StripeFly zunächst als PowerShell und nutzt einen SMB-Exploit (Server Message Block), bei dem es sich offenbar um eine angepasste Version von EternalBlue (durchgesickert im April 2017) zum Eindringen in ungepatchte Windows-Server handelt.
Die Malware verwendet verschiedene Persistenzmethoden, die auf Faktoren wie der Verfügbarkeit des PowerShell-Interpreters und Prozessberechtigungen basieren. Im Allgemeinen wird die Malware mit Administratorrechten ausgeführt, wenn sie über den Exploit installiert wird, und mit Berechtigungen auf Benutzerebene, wenn sie über den Cygwin-SSH-Server bereitgestellt wird.
Hinsichtlich der Module bietet StripeFly drei Servicemodule für Konfigurationsspeicherung, Malware-Updates und -Entfernung sowie einen Reverse-Proxy. Darüber hinaus gibt es sechs Funktionsmodule, die Angreifern eine Reihe von Fähigkeiten ermöglichen. Zu diesen Modulen gehören ein Befehlshandler für verschiedene Befehle, ein Credential Harvester, wiederholbare Aufgaben zum Aufnehmen von Screenshots und Aufzeichnen von Mikrofoneingaben, ein Aufklärungsmodul zum Zusammenstellen von Systeminformationen, SMBv1- und SSH-Infektoren für das Eindringen und wurmähnliche Funktionen.
Forscher haben auch eine verwandte Ransomware-Variante namens ThunderCrypt identifiziert, die dieselbe zugrunde liegende Codebasis verwendet und mit demselben C2-Server wie StripeFly kommuniziert.