一個名為 StripedFly 的跨平臺惡意軟件在網(wǎng)絡安全研究人員的眼皮底下潛伏了 5 年，期間感染了 100 多萬臺 Windows 和 Linux 系統(tǒng)。

卡巴斯基去年發(fā)現(xiàn)了這個惡意框架，并找到了它從2017年開始活動的證據(jù)。

分析師表示，StripedFly擁有復雜的基于 TOR 的流量隱藏機制、來自可信平臺的自動更新、蠕蟲式傳播能力，以及在公開披露漏洞之前創(chuàng)建的自定義 EternalBlue SMBv1 漏洞利用程序。

雖然目前還不清楚這個惡意軟件框架是用于創(chuàng)收還是網(wǎng)絡間諜活動，但卡巴斯基表示，它的復雜性表明這是一個 APT（高級持續(xù)威脅）惡意軟件。

根據(jù)該惡意軟件的編譯器時間戳，StripedFly最早的已知版本是2016年4月，其中包含一個EternalBlue漏洞，而Shadow Brokers組織的公開泄露發(fā)生在2016年8月。

StripedFly感染超 100 萬個系統(tǒng)

卡巴斯基首次發(fā)現(xiàn)StripedFly惡意軟件框架是在WININIT.EXE進程中注入了該平臺的shellcode之后，WININIT.EXE進程是一個合法的Windows操作系統(tǒng)進程，負責處理各種子系統(tǒng)的初始化。

在對注入的代碼進行調查后，他們確定該代碼會從 Bitbucket、GitHub 和 GitLab 等合法托管服務下載并執(zhí)行 PowerShell 腳本等其他文件。

進一步調查顯示，受感染的設備很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，該漏洞針對的是暴露在互聯(lián)網(wǎng)上的計算機。

StripedFly的最終有效載荷（system.img）采用了定制的輕量級TOR網(wǎng)絡客戶端，以保護其網(wǎng)絡通信不被攔截，能夠禁用SMBv1協(xié)議，并使用SSH和EternalBlue傳播到網(wǎng)絡上的其他Windows和Linux設備。

該惡意軟件的命令和控制（C2）服務器位于 TOR 網(wǎng)絡上，與它的通信需要頻繁發(fā)送包含受害者唯一 ID 的信標信息。

StripedFly的感染鏈

為了在 Windows 系統(tǒng)上持久運行，StripedFly 會根據(jù)其運行的權限級別和 PowerShell 的存在調整其行為。

如果沒有 PowerShell，它會在 %APPDATA% 目錄中生成一個隱藏文件。在有 PowerShell 的情況下，它會執(zhí)行用于創(chuàng)建計劃任務或修改 Windows 注冊表鍵值的腳本。

在 Linux 上，惡意軟件的名稱為 "sd-pam"。它使用 systemd 服務、自動啟動 .desktop 文件或修改各種配置文件和啟動文件（如 /etc/rc*、profile、bashrc 或 inittab 文件）來實現(xiàn)持久性。

在 Windows 系統(tǒng)上提供最后階段有效載荷的 Bitbucket 存儲庫顯示，從 2023 年 4 月到 2023 年 9 月，已經(jīng)有近 60000 次系統(tǒng)感染。

據(jù)估計，自 2022 年 2 月以來，StripedFly 已感染了至少 22 萬個 Windows 系統(tǒng)，但該日期之前的統(tǒng)計數(shù)據(jù)無法查明，而且該存儲庫創(chuàng)建于 2018 年。

不過，卡巴斯基估計有超過 100 萬臺設備感染了 StripedFly 框架。

惡意軟件模塊

該惡意軟件以單體二進制可執(zhí)行文件的形式運行，并帶有可插拔模塊，這使其具備了通常與 APT 行動相關的多功能操作性。

以下是卡巴斯基報告中對 StripedFly 模塊的總結：

• 配置存儲： 存儲加密的惡意軟件配置。
• 升級/卸載： 根據(jù) C2 服務器命令管理更新或刪除。
• 反向代理： 允許在受害者網(wǎng)絡上進行遠程操作。
• 雜項命令處理程序： 執(zhí)行各種命令，如截圖捕獲和 shellcode 執(zhí)行。
• 憑證收集器： 掃描并收集密碼和用戶名等敏感用戶數(shù)據(jù)。
• 可重復任務： 在特定條件下執(zhí)行特定任務，如麥克風錄音。
• 偵察模塊： 向 C2 服務器發(fā)送詳細的系統(tǒng)信息。
• SSH 感染器： 使用獲取的 SSH 憑據(jù)滲透其他系統(tǒng)。
• SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系統(tǒng)。
• Monero 挖礦模塊： 在偽裝成 "chrome.exe "進程的同時挖掘 Monero。

卡巴斯基在報告中寫道：惡意軟件的有效載荷包含多個模塊，使行為者能夠以 APT、加密貨幣礦工甚至勒索軟件群組的身份執(zhí)行任務。

值得注意的是，該模塊開采的Monero加密貨幣在2018年1月9日達到峰值542.33美元，而2017年的價值約為10美元。截至2023年，其價值一直維持在150美元左右。

卡巴斯基專家強調，挖礦模塊是該惡意軟件能夠長期逃避檢測的主要因素。

參考鏈接：https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/