StripedFly - en komplex skadlig programvara som undvek upptäckt i flera år
StripedFly, som ursprungligen antogs vara en enkel skadlig kod för brytning av kryptovalutor, har visat sig vara en mycket sofistikerad spionplattform designad för både Windows- och Linux-system, med ett svindlande antal över 1 miljon infekterade offer.
När StripedFly först identifierades 2017 avfärdades den av misstag som en relativt ineffektiv skadlig kod för kryptomining. Det har dock sedan dess visat sig vara ett komplext modulärt skadligt program, som gör det möjligt för cyberangripare att upprätthålla en ihållande närvaro i nätverk, få omfattande insyn i sin verksamhet och exfiltrera data vid behov. Även om det verkligen kan bryta Monero kryptovaluta, går dess kapacitet långt utöver detta, vilket upptäcktes av säkerhetsforskare som genomförde en grundlig undersökning innan de delade med sig av sina resultat.
I grund och botten anses StripedFly nu vara ett utmärkt exempel på avancerad skadlig programvara för persistent hot (APT). Den inkluderar en inbäddad Tor-nätverkstunnel för kommunikation med kommando-och-kontroll-servrar (C2) och har uppdaterings- och leveransmekanismer genom pålitliga plattformar som GitLab, GitHub och Bitbucket, alla med anpassade krypterade arkiv.
Dessutom har forskare observerat att StripedFly redan har infekterat mer än 1 miljon system. De fick denna information från ett Bitbucket-förråd kopplat till skadlig programvara, skapad den 21 juni 2018, under kontot av någon som använder namnet Julie Heilman. Det faktum att det har förblivit oupptäckt i cirka sex år är särskilt häpnadsväckande.
StripedFly's Internals
StrippedFlys struktur består av en monolitisk binär körbar kod med pluggbara moduler, vilket gör att angripare kan utöka eller förbättra dess funktionalitet. Varje modul hanterar sin egen callback-funktion för kommunikation med en C2-server.
När StripedFly har infiltrerat ett nätverk, visas StripedFly initialt som PowerShell, med användning av ett servermeddelandeblock (SMB), som verkar vara en anpassad version av EternalBlue (läckte ut i april 2017) för att komma in i oparpade Windows-servrar.
Skadlig programvara använder olika beständighetsmetoder baserade på faktorer som tillgängligheten av PowerShell-tolken och processrättigheter. I allmänhet körs skadlig programvara med administrativa privilegier när den installeras genom exploateringen och med privilegier på användarnivå när den levereras via Cygwin SSH-servern.
När det gäller moduler har StripedFly tre servicemoduler för konfigurationslagring, uppdateringar av skadlig programvara och borttagning, samt en omvänd proxy. Dessutom finns det sex funktionsmoduler som möjliggör en rad funktioner för angripare. Dessa moduler inkluderar en diverse kommandohanterare, en referensskördare, repeterbara uppgifter för att ta skärmdumpar och spela in mikrofoninmatning, en spaningsmodul för att sammanställa systeminformation, SMBv1- och SSH-infektorer för penetration och maskliknande funktioner.
Forskare har också identifierat en relaterad ransomware-variant som heter ThunderCrypt, som delar samma underliggande kodbas och kommunicerar med samma C2-server som StripedFly.
