StripedFly - en kompleks skadelig programvare som unngikk oppdagelse i årevis

StripedFly ble opprinnelig antatt å være en enkel gruvedrift av kryptovaluta, og har vist seg å være en svært sofistikert spionasjeplattform designet for både Windows- og Linux-systemer, med et svimlende antall over 1 million infiserte ofre.

Da StripedFly først ble identifisert i 2017, ble den feilaktig avvist som en relativt ineffektiv crypto-mining malware. Imidlertid har det siden avslørt seg som en kompleks modulær skadelig programvare, som gjør det mulig for cyberangripere å opprettholde en vedvarende tilstedeværelse i nettverk, få omfattende innsyn i operasjonene deres og eksfiltrere data etter behov. Selv om den faktisk kan utvinne Monero-kryptovaluta, går dens evner langt utover dette, som oppdaget av sikkerhetsforskere som gjennomførte en grundig undersøkelse før de delte funnene sine.

I hovedsak regnes StripedFly nå som et ypperlig eksempel på avansert, vedvarende trussel (APT) malware. Den inkluderer en innebygd Tor-nettverkstunnel for kommunikasjon med kommando-og-kontroll-servere (C2) og har oppdaterings- og leveringsmekanismer gjennom pålitelige plattformer som GitLab, GitHub og Bitbucket, alle med tilpassede krypterte arkiver.

Dessuten har forskere observert at StripedFly allerede har infisert mer enn 1 million systemer. De hentet denne informasjonen fra et Bitbucket-depot knyttet til skadelig programvare, opprettet 21. juni 2018, under kontoen til noen som bruker navnet Julie Heilman. Det faktum at det har vært uoppdaget i rundt seks år er spesielt forbløffende.

StripedFly's Internals

StrippedFlys struktur består av en monolitisk binær kjørbar kode med pluggbare moduler, slik at angripere kan utvide eller forbedre funksjonaliteten. Hver modul administrerer sin egen tilbakeringingsfunksjon for kommunikasjon med en C2-server.

Etter å ha infiltrert et nettverk, vises StripedFly opprinnelig som PowerShell, ved å bruke en servermeldingsblokk (SMB) utnyttelse, som ser ut til å være en tilpasset versjon av EternalBlue (lekket i april 2017) for å gå inn i upatchede Windows-servere.

Skadevaren bruker ulike utholdenhetsmetoder basert på faktorer som tilgjengeligheten til PowerShell-tolken og prosessprivilegier. Vanligvis kjører skadevaren med administrative rettigheter når den installeres gjennom utnyttelsen og med rettigheter på brukernivå når den leveres via Cygwin SSH-serveren.

Når det gjelder moduler, har StripedFly tre tjenestemoduler for konfigurasjonslagring, skadevareoppdateringer og fjerning, samt en omvendt proxy. I tillegg er det seks funksjonalitetsmoduler som muliggjør en rekke funksjoner for angripere. Disse modulene inkluderer en diverse kommandobehandler, en legitimasjonshøster, repeterbare oppgaver for å ta skjermbilder og ta opp mikrofoninndata, en rekognoseringsmodul for å kompilere systeminformasjon, SMBv1- og SSH-infektorer for penetrering og ormlignende funksjoner.

Forskere har også identifisert en relatert løsepengevarevariant kalt ThunderCrypt, som deler den samme underliggende kodebasen og kommuniserer med samme C2-server som StripedFly.