StripedFly - 何年も検出を回避してきた複雑なマルウェア

StripedFly は当初、単純な仮想通貨マイニング マルウェアであると考えられていましたが、Windows と Linux の両方のシステム向けに設計された非常に洗練されたスパイ プラットフォームであることが判明し、感染被害者は驚異的な数で 100 万人を超えています。

StripedFly が 2017 年に初めて特定されたとき、比較的効果の低い仮想通貨マイニング マルウェアとして誤って無視されました。しかしその後、それ自体が複雑なモジュール型マルウェアであることが明らかになり、サイバー攻撃者がネットワーク内に永続的に存在し、その活動を広範に可視化し、必要に応じてデータを抜き出すことが可能になります。確かに暗号通貨 Monero をマイニングすることができますが、調査結果を共有する前に徹底的な調査を行ったセキュリティ研究者によって発見されたように、その機能はこれをはるかに超えています。

本質的に、StripedFly は現在、高度持続型脅威 (APT) マルウェアの主要な例とみなされています。これには、コマンド アンド コントロール (C2) サーバーと通信するための組み込み Tor ネットワーク トンネルが含まれており、GitLab、GitHub、Bitbucket などの信頼できるプラットフォームを介した更新および配信メカニズムを備えており、すべてカスタム暗号化アーカイブが含まれています。

さらに、研究者は、StripedFly がすでに 100 万以上のシステムに感染していることを観察しています。彼らは、このマルウェアにリンクされている Bitbucket リポジトリからこの情報を入手しました。このリポジトリは、2018 年 6 月 21 日に Julie Heilman という名前を使用した誰かのアカウントで作成されました。約6年間も検出されなかったという事実は特に驚くべきことである。

StripedFly の内部構造

StrippedFly の構造は、プラグ可能なモジュールを備えたモノリシックなバイナリ実行可能コードで構成されており、攻撃者がその機能を拡張または強化できるようになります。各モジュールは、C2 サーバーと通信するための独自のコールバック関数を管理します。

ネットワークに侵入すると、StripedFly は最初は PowerShell として現れ、サーバー メッセージ ブロック (SMB) エクスプロイトを利用します。これは、パッチが適用されていない Windows サーバーに侵入するための EternalBlue (2017 年 4 月に漏洩) のカスタマイズされたバージョンと思われます。

このマルウェアは、PowerShell インタープリターの可用性やプロセス権限などの要因に基づいて、さまざまな永続化方法を採用しています。一般に、マルウェアはエクスプロイトによってインストールされる場合は管理者権限で実行され、Cygwin SSH サーバー経由で配信される場合はユーザーレベルの権限で実行されます。

モジュールに関して言えば、StripedFly は、構成ストレージ、マルウェアの更新、削除、およびリバース プロキシ用の 3 つのサービス モジュールを備えています。さらに、攻撃者向けにさまざまな機能を有効にする 6 つの機能モジュールがあります。これらのモジュールには、さまざまなコマンド ハンドラー、資格情報ハーベスタ、スクリーンショットの撮影とマイク入力の記録のための反復可能なタスク、システム情報を編集するための偵察モジュール、侵入とワームのような機能のための SMBv1 および SSH 感染装置が含まれます。

研究者らは、ThunderCrypt という名前の関連するランサムウェア亜種も特定しました。これは、StripedFly と同じ基盤コードベースを共有し、同じ C2 サーバーと通信します。