StripedFly – złożone złośliwe oprogramowanie, które przez lata umykało wykryciu
Początkowo uważany za proste złośliwe oprogramowanie wydobywające kryptowaluty, StripedFly okazał się wysoce zaawansowaną platformą szpiegowską zaprojektowaną zarówno dla systemów Windows, jak i Linux, z oszałamiającą liczbą ponad 1 miliona zainfekowanych ofiar.
Kiedy StripedFly został po raz pierwszy zidentyfikowany w 2017 roku, został błędnie odrzucony jako stosunkowo nieskuteczne złośliwe oprogramowanie do wydobywania kryptowalut. Jednak od tego czasu okazało się, że jest to złożone, modułowe złośliwe oprogramowanie, umożliwiające cyberprzestępcom utrzymanie stałej obecności w sieci, uzyskanie szerokiego wglądu w swoje operacje i w razie potrzeby eksfiltrację danych. Chociaż rzeczywiście może wydobywać kryptowalutę Monero, jego możliwości wykraczają daleko poza to, co odkryli badacze bezpieczeństwa, którzy przeprowadzili dokładne dochodzenie przed udostępnieniem swoich ustaleń.
Zasadniczo StripedFly jest obecnie uważany za doskonały przykład złośliwego oprogramowania z zaawansowanym trwałym zagrożeniem (APT). Zawiera wbudowany tunel sieciowy Tor do komunikacji z serwerami dowodzenia i kontroli (C2) oraz oferuje mechanizmy aktualizacji i dostarczania za pośrednictwem zaufanych platform, takich jak GitLab, GitHub i Bitbucket, a wszystko to z niestandardowymi zaszyfrowanymi archiwami.
Co więcej, badacze zaobserwowali, że StripedFly zainfekował już ponad 1 milion systemów. Informacje te uzyskali z repozytorium Bitbucket powiązanego ze złośliwym oprogramowaniem, utworzonego 21 czerwca 2018 r. z konta osoby posługującej się nazwiskiem Julie Heilman. Szczególnie zdumiewający jest fakt, że przez około sześć lat pozostawał on niewykryty.
Elementy wewnętrzne StripedFly
Struktura StrippedFly składa się z monolitycznego binarnego kodu wykonywalnego z podłączanymi modułami, umożliwiając atakującym rozszerzenie lub ulepszenie jego funkcjonalności. Każdy moduł zarządza własną funkcją wywołania zwrotnego do komunikacji z serwerem C2.
Po infiltracji sieci StripedFly początkowo pojawia się jako PowerShell, wykorzystując exploit blokowania komunikatów serwera (SMB), który wydaje się być dostosowaną wersją EternalBlue (wyciekł w kwietniu 2017 r.) do wchodzenia na niezałatane serwery Windows.
Szkodnik wykorzystuje różne metody utrzymywania się w oparciu o takie czynniki, jak dostępność interpretera PowerShell i uprawnienia procesów. Ogólnie rzecz biorąc, szkodliwe oprogramowanie działa z uprawnieniami administracyjnymi, gdy jest instalowane za pośrednictwem exploita, oraz z uprawnieniami na poziomie użytkownika, gdy jest dostarczane za pośrednictwem serwera Cygwin SSH.
Jeśli chodzi o moduły, StripedFly oferuje trzy moduły usług do przechowywania konfiguracji, aktualizacji i usuwania złośliwego oprogramowania, a także odwrotne proxy. Dodatkowo istnieje sześć modułów funkcjonalnych, które zapewniają atakującym szereg możliwości. Moduły te obejmują moduł obsługi różnych poleceń, moduł zbierający dane uwierzytelniające, powtarzalne zadania do robienia zrzutów ekranu i nagrywania sygnału wejściowego z mikrofonu, moduł rozpoznawczy do kompilowania informacji o systemie, infektory SMBv1 i SSH umożliwiające penetrację i działanie robakopodobne.
Badacze zidentyfikowali również powiązany wariant oprogramowania ransomware o nazwie ThunderCrypt, który ma tę samą bazę kodu i komunikuje się z tym samym serwerem C2 co StripedFly.
