StripedFly - een complexe malware die jarenlang detectie heeft ontweken
Aanvankelijk werd aangenomen dat het een eenvoudige malware voor het delven van cryptocurrency was, maar nu blijkt StripedFly een zeer geavanceerd spionageplatform te zijn, ontworpen voor zowel Windows- als Linux-systemen, met een duizelingwekkend aantal van meer dan 1 miljoen geïnfecteerde slachtoffers.
Toen StripedFly voor het eerst werd geïdentificeerd in 2017, werd het ten onrechte afgedaan als een relatief ineffectieve cryptomining-malware. Sindsdien heeft het zich echter ontpopt als een complexe modulaire malware, die cyberaanvallers in staat stelt permanent aanwezig te blijven in netwerken, uitgebreid inzicht te krijgen in hun activiteiten en indien nodig gegevens te exfiltreren. Hoewel het inderdaad Monero-cryptocurrency kan minen, gaan de mogelijkheden veel verder, zoals ontdekt door beveiligingsonderzoekers die een grondig onderzoek hebben uitgevoerd voordat ze hun bevindingen deelden.
In wezen wordt StripedFly nu beschouwd als een goed voorbeeld van geavanceerde persistente bedreigingsmalware (APT). Het bevat een ingebedde Tor-netwerktunnel voor communicatie met command-and-control (C2)-servers en beschikt over update- en leveringsmechanismen via vertrouwde platforms zoals GitLab, GitHub en Bitbucket, allemaal met op maat gemaakte gecodeerde archieven.
Bovendien hebben onderzoekers vastgesteld dat StripedFly al meer dan 1 miljoen systemen heeft geïnfecteerd. Ze hebben deze informatie verkregen uit een Bitbucket-repository die is gekoppeld aan de malware, die op 21 juni 2018 is gemaakt onder het account van iemand die de naam Julie Heilman gebruikt. Het feit dat het ongeveer zes jaar onopgemerkt is gebleven, is bijzonder verbazingwekkend.
Interne onderdelen van StripedFly
De structuur van StrippedFly bestaat uit een monolithische binaire uitvoerbare code met inplugbare modules, waardoor aanvallers de functionaliteit ervan kunnen uitbreiden of verbeteren. Elke module beheert zijn eigen callback-functie voor communicatie met een C2-server.
Bij het infiltreren van een netwerk verschijnt StripedFly aanvankelijk als PowerShell, waarbij gebruik wordt gemaakt van een server message block (SMB) exploit, wat een aangepaste versie lijkt te zijn van EternalBlue (gelekt in april 2017) voor het binnendringen van niet-gepatchte Windows-servers.
De malware maakt gebruik van verschillende persistentiemethoden op basis van factoren zoals de beschikbaarheid van de PowerShell-interpreter en procesrechten. Over het algemeen wordt de malware uitgevoerd met beheerdersrechten wanneer deze via de exploit wordt geïnstalleerd, en met rechten op gebruikersniveau wanneer deze via de Cygwin SSH-server wordt afgeleverd.
Qua modules beschikt StripedFly over drie servicemodules voor configuratieopslag, malware-updates en verwijdering, evenals een reverse proxy. Daarnaast zijn er zes functionaliteitsmodules die een reeks mogelijkheden voor aanvallers mogelijk maken. Deze modules omvatten een diverse commando-handler, een credential harvester, herhaalbare taken voor het maken van schermafbeeldingen en het opnemen van microfooninvoer, een verkenningsmodule voor het verzamelen van systeeminformatie, SMBv1- en SSH-infectors voor penetratie en wormachtige mogelijkheden.
Onderzoekers hebben ook een gerelateerde ransomwarevariant geïdentificeerd, genaamd ThunderCrypt, die dezelfde onderliggende codebasis deelt en communiceert met dezelfde C2-server als StripedFly.
