StripedFly – sudėtinga kenkėjiška programa, kuri daugelį metų nebuvo aptikta
Iš pradžių manyta, kad tai paprasta kriptovaliutų kasimo kenkėjiška programa, „StripedFly“ pasirodė esanti labai sudėtinga šnipinėjimo platforma, sukurta tiek „Windows“, tiek „Linux“ sistemoms, o užkrėstų aukų stulbinantis skaičius – daugiau nei 1 mln.
Kai 2017 m. pirmą kartą buvo identifikuota StripedFly, ji per klaidą buvo atmesta kaip gana neveiksminga kriptovaliutų kasimo kenkėjiška programa. Tačiau nuo to laiko paaiškėjo, kad tai sudėtinga modulinė kenkėjiška programa, leidžianti kibernetiniams užpuolikams nuolat būti tinkluose, gauti plačią informaciją apie savo veiklą ir prireikus išfiltruoti duomenis. Nors ji iš tiesų gali išgauti Monero kriptovaliutą, jos galimybės gerokai viršija tai, ką atrado saugumo tyrinėtojai, kurie prieš pasidalydami savo išvadomis atliko išsamų tyrimą.
Iš esmės „StripedFly“ dabar laikoma geriausiu pažangios nuolatinės grėsmės (APT) kenkėjiškų programų pavyzdžiu. Jame yra integruotas „Tor“ tinklo tunelis, skirtas bendravimui su komandų ir valdymo (C2) serveriais, ir atnaujinimo bei pristatymo mechanizmai per patikimas platformas, tokias kaip „GitLab“, „GitHub“ ir „Bitbucket“, su pasirinktiniais šifruotais archyvais.
Be to, mokslininkai pastebėjo, kad StripedFly jau užkrėtė daugiau nei 1 milijoną sistemų. Šią informaciją jie gavo iš „Bitbucket“ saugyklos, susietos su kenkėjiška programa, sukurtos 2018 m. birželio 21 d., naudojant Julie Heilman vardą. Tai, kad jis buvo nepastebėtas maždaug šešerius metus, yra ypač stulbinantis.
„StripedFly“ vidiniai elementai
„StrippedFly“ struktūrą sudaro monolitinis dvejetainis vykdomasis kodas su prijungiamais moduliais, leidžiančiais užpuolikams išplėsti arba pagerinti jo funkcijas. Kiekvienas modulis valdo savo atgalinio ryšio funkciją, skirtą ryšiui su C2 serveriu.
Įsiskverbusi į tinklą, StripedFly iš pradžių atrodo kaip PowerShell, naudojant serverio pranešimų bloko (SMB) išnaudojimą, kuris, atrodo, yra pritaikyta EternalBlue versija (nutekėjo 2017 m. balandžio mėn.), skirta patekti į nepataisytus Windows serverius.
Kenkėjiška programinė įranga naudoja įvairius išlikimo metodus, pagrįstus tokiais veiksniais kaip PowerShell vertėjo prieinamumas ir proceso privilegijos. Paprastai kenkėjiška programa veikia su administratoriaus teisėmis, kai įdiegiama naudojant išnaudojimą, ir su vartotojo lygio teisėmis, kai ji pristatoma per Cygwin SSH serverį.
Kalbant apie modulius, „StripedFly“ turi tris paslaugų modulius, skirtus konfigūracijos saugojimui, kenkėjiškų programų atnaujinimams ir pašalinimui, taip pat atvirkštinį tarpinį serverį. Be to, yra šeši funkciniai moduliai, kurie suteikia užpuolikams įvairių galimybių. Šiuose moduliuose yra įvairių komandų tvarkytuvas, kredencialų rinktuvas, pakartojamos užduotys fotografuojant ekrano kopijas ir įrašant mikrofono įvestį, žvalgybos modulis sistemos informacijai kaupti, SMBv1 ir SSH užkrečiamosios priemonės, skirtos įsiskverbimui ir į kirminą panašioms galimybėms.
Tyrėjai taip pat nustatė susijusį ransomware variantą, pavadintą ThunderCrypt, kuris turi tą pačią pagrindinę kodų bazę ir bendrauja su tuo pačiu C2 serveriu kaip ir StripedFly.
