StripedFly - ένα σύνθετο κακόβουλο λογισμικό που διέφυγε τον εντοπισμό για χρόνια
Αρχικά πιστευόταν ότι ήταν ένα απλό κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων, το StripedFly αποδείχθηκε ότι είναι μια εξαιρετικά εξελιγμένη πλατφόρμα κατασκοπείας σχεδιασμένη τόσο για συστήματα Windows όσο και για Linux, με έναν εκπληκτικό αριθμό πάνω από 1 εκατομμύριο μολυσμένα θύματα.
Όταν το StripedFly αναγνωρίστηκε για πρώτη φορά το 2017, απορρίφθηκε κατά λάθος ως ένα σχετικά αναποτελεσματικό κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων. Ωστόσο, έκτοτε αποκαλύφθηκε ότι είναι ένα πολύπλοκο σπονδυλωτό κακόβουλο λογισμικό, που επιτρέπει στους επιτιθέμενους στον κυβερνοχώρο να διατηρήσουν μια επίμονη παρουσία στα δίκτυα, να αποκτήσουν εκτεταμένη ορατότητα στις δραστηριότητές τους και να διεισδύσουν δεδομένα όπως απαιτείται. Αν και μπορεί πράγματι να εξορύξει το κρυπτονόμισμα Monero, οι δυνατότητές του ξεπερνούν κατά πολύ αυτό, όπως ανακαλύφθηκε από ερευνητές ασφαλείας που διεξήγαγαν μια ενδελεχή έρευνα πριν μοιραστούν τα ευρήματά τους.
Ουσιαστικά, το StripedFly θεωρείται πλέον χαρακτηριστικό παράδειγμα κακόβουλου λογισμικού προηγμένης επίμονης απειλής (APT). Περιλαμβάνει μια ενσωματωμένη σήραγγα δικτύου Tor για επικοινωνία με διακομιστές εντολών και ελέγχου (C2) και διαθέτει μηχανισμούς ενημέρωσης και παράδοσης μέσω αξιόπιστων πλατφορμών όπως το GitLab, το GitHub και το Bitbucket, όλα με προσαρμοσμένα κρυπτογραφημένα αρχεία.
Επιπλέον, οι ερευνητές παρατήρησαν ότι το StripedFly έχει ήδη μολύνει περισσότερα από 1 εκατομμύριο συστήματα. Έλαβαν αυτές τις πληροφορίες από ένα αποθετήριο Bitbucket συνδεδεμένο με το κακόβουλο λογισμικό, που δημιουργήθηκε στις 21 Ιουνίου 2018, υπό τον λογαριασμό κάποιου που χρησιμοποιεί το όνομα Julie Heilman. Το γεγονός ότι παρέμεινε απαρατήρητο για περίπου έξι χρόνια είναι ιδιαίτερα εκπληκτικό.
Εσωτερικά του StripedFly
Η δομή του StrippedFly περιλαμβάνει έναν μονολιθικό δυαδικό εκτελέσιμο κώδικα με pluggable modules, που επιτρέπει στους εισβολείς να επεκτείνουν ή να βελτιώσουν τη λειτουργικότητά του. Κάθε μονάδα διαχειρίζεται τη δική της λειτουργία επανάκλησης για επικοινωνία με έναν διακομιστή C2.
Κατά τη διείσδυση σε ένα δίκτυο, το StripedFly εμφανίζεται αρχικά ως PowerShell, χρησιμοποιώντας μια εκμετάλλευση μπλοκ μηνυμάτων διακομιστή (SMB), η οποία φαίνεται να είναι μια προσαρμοσμένη έκδοση του EternalBlue (που διέρρευσε τον Απρίλιο του 2017) για την είσοδο σε διακομιστές Windows που δεν έχουν επιδιορθωθεί.
Το κακόβουλο λογισμικό χρησιμοποιεί διάφορες μεθόδους επιμονής που βασίζονται σε παράγοντες όπως η διαθεσιμότητα του διερμηνέα PowerShell και τα δικαιώματα διεργασίας. Γενικά, το κακόβουλο λογισμικό εκτελείται με δικαιώματα διαχειριστή όταν εγκαθίσταται μέσω του exploit και με δικαιώματα σε επίπεδο χρήστη όταν παραδίδεται μέσω του διακομιστή Cygwin SSH.
Όσον αφορά τις μονάδες, το StripedFly διαθέτει τρεις λειτουργικές μονάδες για αποθήκευση ρυθμίσεων, ενημερώσεις κακόβουλου λογισμικού και αφαίρεση, καθώς και έναν αντίστροφο διακομιστή μεσολάβησης. Επιπλέον, υπάρχουν έξι λειτουργικές μονάδες που επιτρέπουν μια σειρά δυνατοτήτων για τους εισβολείς. Αυτές οι μονάδες περιλαμβάνουν έναν διαφορετικό χειριστή εντολών, έναν συγκομιστή διαπιστευτηρίων, επαναλαμβανόμενες εργασίες για λήψη στιγμιότυπων οθόνης και εγγραφή εισόδου μικροφώνου, μονάδα αναγνώρισης για τη συλλογή πληροφοριών συστήματος, SMBv1 και SSH infectors για διείσδυση και δυνατότητες τύπου worm.
Οι ερευνητές έχουν επίσης εντοπίσει μια σχετική παραλλαγή ransomware που ονομάζεται ThunderCrypt, η οποία μοιράζεται την ίδια υποκείμενη βάση κώδικα και επικοινωνεί με τον ίδιο διακομιστή C2 με το StripedFly.
