StripedFly - 一种多年来逃避检测的复杂恶意软件

StripedFly 最初被认为是一种简单的加密货币挖掘恶意软件，但后来被证明是一个专为 Windows 和 Linux 系统设计的高度复杂的间谍平台，受感染的受害者数量超过 100 万，数量惊人。

当 StripedFly 在 2017 年首次被发现时，它被错误地认为是一种相对无效的加密货币挖矿恶意软件而被忽视。然而，它后来被发现是一种复杂的模块化恶意软件，使网络攻击者能够在网络中持续存在，获得对其操作的广泛可见性，并根据需要窃取数据。虽然它确实可以挖掘门罗币加密货币，但正如安全研究人员在分享其发现之前进行彻底调查所发现的那样，它的功能远远不止于此。

从本质上讲，StripedFly 现在被认为是高级持续威胁 (APT) 恶意软件的主要示例。它包括一个嵌入式 Tor 网络隧道，用于与命令和控制 (C2) 服务器进行通信，并通过 GitLab、GitHub 和 Bitbucket 等可信平台提供更新和交付机制，所有这些都具有自定义加密档案。

此外，研究人员观察到 StripedFly 已经感染了超过 100 万个系统。他们从与该恶意软件链接的 Bitbucket 存储库中获取了此信息，该存储库于 2018 年 6 月 21 日由一个名为 Julie Heilman 的人的帐户创建。尤其令人震惊的是，它在大约六年的时间里一直未被发现。

StripedFly 的内部结构

StrippedFly 的结构由带有可插入模块的整体二进制可执行代码组成，允许攻击者扩展或增强其功能。每个模块管理自己的回调函数，用于与 C2 服务器通信。

渗透网络后，StripedFly 最初以 PowerShell 形式出现，利用服务器消息块 (SMB) 漏洞，该漏洞似乎是 EternalBlue（于 2017 年 4 月泄露）的定制版本，用于进入未修补的 Windows 服务器。

该恶意软件根据 PowerShell 解释器的可用性和进程权限等因素采用各种持久性方法。一般来说，恶意软件在通过漏洞安装时以管理权限运行，在通过 Cygwin SSH 服务器传递时以用户级权限运行。

在模块方面，StripedFly具有配置存储、恶意软件更新和删除以及反向代理三个服务模块。此外，还有六个功能模块可以为攻击者提供一系列功能。这些模块包括各种命令处理程序、凭据收集器、用于截取屏幕截图和记录麦克风输入的可重复任务、用于编译系统信息的侦察模块、用于渗透和类似蠕虫功能的 SMBv1 和 SSH 感染器。

研究人员还发现了一个名为 ThunderCrypt 的相关勒索软件变体，它与 StripedFly 共享相同的底层代码库并与相同的 C2 服务器进行通信。