StripedFly - 一种多年来逃避检测的复杂恶意软件
StripedFly 最初被认为是一种简单的加密货币挖掘恶意软件,但后来被证明是一个专为 Windows 和 Linux 系统设计的高度复杂的间谍平台,受感染的受害者数量超过 100 万,数量惊人。
当 StripedFly 在 2017 年首次被发现时,它被错误地认为是一种相对无效的加密货币挖矿恶意软件而被忽视。然而,它后来被发现是一种复杂的模块化恶意软件,使网络攻击者能够在网络中持续存在,获得对其操作的广泛可见性,并根据需要窃取数据。虽然它确实可以挖掘门罗币加密货币,但正如安全研究人员在分享其发现之前进行彻底调查所发现的那样,它的功能远远不止于此。
从本质上讲,StripedFly 现在被认为是高级持续威胁 (APT) 恶意软件的主要示例。它包括一个嵌入式 Tor 网络隧道,用于与命令和控制 (C2) 服务器进行通信,并通过 GitLab、GitHub 和 Bitbucket 等可信平台提供更新和交付机制,所有这些都具有自定义加密档案。
此外,研究人员观察到 StripedFly 已经感染了超过 100 万个系统。他们从与该恶意软件链接的 Bitbucket 存储库中获取了此信息,该存储库于 2018 年 6 月 21 日由一个名为 Julie Heilman 的人的帐户创建。尤其令人震惊的是,它在大约六年的时间里一直未被发现。
StripedFly 的内部结构
StrippedFly 的结构由带有可插入模块的整体二进制可执行代码组成,允许攻击者扩展或增强其功能。每个模块管理自己的回调函数,用于与 C2 服务器通信。
渗透网络后,StripedFly 最初以 PowerShell 形式出现,利用服务器消息块 (SMB) 漏洞,该漏洞似乎是 EternalBlue(于 2017 年 4 月泄露)的定制版本,用于进入未修补的 Windows 服务器。
该恶意软件根据 PowerShell 解释器的可用性和进程权限等因素采用各种持久性方法。一般来说,恶意软件在通过漏洞安装时以管理权限运行,在通过 Cygwin SSH 服务器传递时以用户级权限运行。
在模块方面,StripedFly具有配置存储、恶意软件更新和删除以及反向代理三个服务模块。此外,还有六个功能模块可以为攻击者提供一系列功能。这些模块包括各种命令处理程序、凭据收集器、用于截取屏幕截图和记录麦克风输入的可重复任务、用于编译系统信息的侦察模块、用于渗透和类似蠕虫功能的 SMBv1 和 SSH 感染器。
研究人员还发现了一个名为 ThunderCrypt 的相关勒索软件变体,它与 StripedFly 共享相同的底层代码库并与相同的 C2 服务器进行通信。