StripedFly – egy összetett rosszindulatú program, amely évekig elkerülte az észlelést
A kezdetben egy egyszerű kriptovaluta-bányász kártevőnek hitt StripedFly egy rendkívül kifinomult kémplatformnak bizonyult, amelyet Windows és Linux rendszerekre is terveztek, és elképesztően sok, több mint 1 millió fertőzött áldozattal.
Amikor 2017-ben először azonosították a StripedFly-t, tévedésből elutasították, mint egy viszonylag hatástalan kriptobányászati kártevőt. Azóta azonban kiderült, hogy egy összetett moduláris rosszindulatú program, amely lehetővé teszi a kibertámadók számára, hogy folyamatosan jelen legyenek a hálózatokban, széles körben betekinthessenek működésükbe, és szükség szerint kiszűrjék az adatokat. Bár valóban képes Monero kriptovalutát bányászni, képességei messze túlmutatnak ezen, amint azt biztonsági kutatók fedezték fel, akik alapos vizsgálatot végeztek, mielőtt megosztották volna eredményeiket.
Lényegében a StripedFly ma már a fejlett, tartós fenyegetés (APT) rosszindulatú programjainak kiváló példája. Tartalmaz egy beágyazott Tor hálózati alagutat a parancs- és vezérlő (C2) szerverekkel való kommunikációhoz, valamint frissítési és kézbesítési mechanizmusokat kínál megbízható platformokon, például a GitLabon, a GitHubon és a Bitbucketen, mindezt egyéni titkosított archívumokkal.
Ráadásul a kutatók megfigyelték, hogy a StripedFly már több mint 1 millió rendszert fertőzött meg. Ezeket az információkat egy, a rosszindulatú programhoz kapcsolódó Bitbucket adattárból szerezték be, amelyet 2018. június 21-én hoztak létre valaki Julie Heilman nevet használó fiókja alatt. Az a tény, hogy körülbelül hat évig észrevétlen maradt, különösen megdöbbentő.
StripedFly belső elemei
A StrippedFly felépítése egy monolitikus bináris végrehajtható kódból áll, amely bedugaszolható modulokat tartalmaz, lehetővé téve a támadók számára, hogy bővítsék vagy javítsák a funkcióit. Mindegyik modul saját visszahívási funkcióját kezeli a C2 szerverrel való kommunikációhoz.
A hálózatba való behatoláskor a StripedFly kezdetben PowerShell néven jelenik meg, egy szerverüzenetblokk (SMB) kizsákmányolást használva, amely úgy tűnik, az EternalBlue testreszabott verziója (2017 áprilisában szivárgott ki) a javítatlan Windows-kiszolgálókba való belépéshez.
A rosszindulatú program különféle perzisztencia módszereket alkalmaz olyan tényezők alapján, mint a PowerShell értelmező elérhetősége és a folyamatjogosultságok. Általában a rosszindulatú program rendszergazdai jogosultságokkal fut, ha az exploit segítségével telepíti, és felhasználói szintű jogosultságokkal, ha a Cygwin SSH szerveren keresztül szállítják.
Ami a modulokat illeti, a StripedFly három szolgáltatási modult tartalmaz a konfiguráció tárolására, a rosszindulatú programok frissítésére és eltávolítására, valamint egy fordított proxyt. Ezenkívül hat funkciómodul áll rendelkezésre, amelyek egy sor képességet tesznek lehetővé a támadók számára. Ezek a modulok tartalmaznak egy vegyes parancskezelőt, egy hitelesítő adatgyűjtőt, megismételhető feladatokat képernyőképek készítéséhez és mikrofonbemenet rögzítéséhez, egy felderítő modult a rendszerinformációk összeállításához, SMBv1 és SSH fertőzőket a behatoláshoz és féregszerű képességekhez.
A kutatók egy kapcsolódó ransomware-változatot is azonosítottak, a ThunderCrypt nevet, amely ugyanazt a kódbázist használja, és ugyanazzal a C2 szerverrel kommunikál, mint a StripedFly.