StripedFly - 多年來逃避偵測的複雜惡意軟體

StripedFly 最初被認為是一種簡單的加密貨幣挖礦惡意軟體，但後來被證明是一個專為 Windows 和 Linux 系統設計的高度複雜的間諜平台，受感染的受害者數量超過 100 萬，數量驚人。

當 StripedFly 在 2017 年首次被發現時，它被錯誤地認為是一種相對無效的加密貨幣挖礦惡意軟體而被忽視。然而，它後來被發現是一種複雜的模組化惡意軟體，使網路攻擊者能夠在網路中持續存在，獲得對其操作的廣泛可見性，並根據需要竊取資料。雖然它確實可以挖掘門羅幣加密貨幣，但正如安全研究人員在分享其發現之前進行徹底調查所發現的那樣，它的功能遠遠不止於此。

從本質上講，StripedFly 現在被認為是進階持續性威脅 (APT) 惡意軟體的主要範例。它包括一個嵌入式 Tor 網路隧道，用於與命令和控制 (C2) 伺服器進行通信，並透過 GitLab、GitHub 和 Bitbucket 等可信任平台提供更新和交付機制，所有這些都具有自訂加密檔案。

此外，研究人員觀察到 StripedFly 已經感染了超過 100 萬個系統。他們從與該惡意軟體連結的 Bitbucket 存儲庫中獲取了此信息，該存儲庫於 2018 年 6 月 21 日由一個名為 Julie Heilman 的人的帳戶創建。尤其令人震驚的是，它在大約六年的時間裡一直未被發現。

StripedFly 的內部結構

StrippedFly 的結構由具有可插入模組的整體二進位可執行程式碼組成，允許攻擊者擴展或增強其功能。每個模組管理自己的回調函數，用於與 C2 伺服器通訊。

滲透網路後，StripedFly 最初以 PowerShell 形式出現，利用伺服器訊息區塊 (SMB) 漏洞，該漏洞似乎是 EternalBlue（於 2017 年 4 月洩漏）的定製版本，用於進入未修補的 Windows 伺服器。

該惡意軟體根據 PowerShell 解釋器的可用性和進程權限等因素採用各種持久性方法。一般來說，惡意軟體在透過漏洞安裝時以管理權限運行，並在透過 Cygwin SSH 伺服器傳遞時以使用者級權限運行。

在模組方面，StripedFly具有配置儲存、惡意軟體更新和刪除以及反向代理三個服務模組。此外，還有六個功能模組可以為攻擊者提供一系列功能。這些模組包括各種命令處理程序、憑證收集器、用於截取螢幕截圖和記錄麥克風輸入的可重複任務、用於編譯系統資訊的偵察模組、用於滲透和類似蠕蟲功能的 SMBv1 和 SSH 感染器。

研究人員還發現了一個名為 ThunderCrypt 的相關勒索軟體變體，它與 StripedFly 共享相同的底層程式碼庫並與相同的 C2 伺服器進行通訊。