一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年,在此期间感染了超过一百万个Windows和Linux系统。
卡巴斯基去年发现StripedFly恶意软件框架的真实意图,发现其从2017年开始活动的证据,该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。
分析师将StripedFly描述为令人印象深刻,具有复杂的基于TOR的流量隐藏机制,来自受信任平台的自动更新,类似蠕虫的传播功能,以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。
虽然目前还不清楚这种恶意软件框架是否被用于创收或网络间谍活动,但卡巴斯基表示,其复杂性表明这是一种APT(高级持续威胁)恶意软件。
根据恶意软件的编译器时间戳,已知最早的具有 EternalBlue 漏洞利用的 StripedFly 版本可追溯到 2016 年 4 月,而影子经纪人组织的公开泄密发生在 2016 年 8 月。
超过一百万个系统被StripedFly感染
StripedFly恶意软件框架是在卡巴斯基发现该平台的shellcode注入到WININI.EXE T进程中后首次发现的,WININIT进程是一个合法的Windows操作系统进程,用于处理各种子系统的初始化。
在调查了注入的代码后,他们确定它从Bitbucket,GitHub和GitLab等合法托管服务(包括PowerShell脚本)下载并执行其他文件,例如PowerShell脚本。
进一步的调查表明,受感染的设备可能首先使用针对互联网暴露计算机的自定义EternalBlue SMBv1漏洞进行破坏。
最终的StripedFly有效载荷(system.img)具有定制的轻量级TOR网络客户端,以保护其网络通信免受拦截,能够禁用SMBv1协议,并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。
该恶意软件的命令和控制 (C2) 服务器位于 TOR 网络上,与其通信涉及包含受害者唯一 ID 的频繁信标消息。
StripedFly的感染链(卡巴斯基)
为了在Windows系统上实现持久性,StripedFly会根据其运行的特权级别和PowerShell的存在来调整其行为。
如果没有PowerShell,它会在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下,它会行用于创建计划任务或修改Windows注册表项的脚本。
在 Windows 系统上提供最后阶段有效负载的 Bitbucket 存储库表明,在 2023 年 4 月至 2023 年 9 月期间,已有近 60,000 次系统感染。
据估计,自 2022 年 2 月以来,StripedFly 至少感染了 220,000 个 Windows 系统,但该日期之前的统计数据不可用,该存储库是在 2018 年创建的。
自 2023 年 4 月以来的有效负载下载计数(卡巴斯基)
卡巴斯基估计有超过100万台设备受到StripedFly框架的感染。
恶意软件模块
该恶意软件作为具有可插拔插件模块的二进制可执行文件运行,使其具备与 APT 操作相关的各项功能。
以下是卡巴斯基报告中StripedFly模块的摘要:
- 配置存储:存储加密的恶意软件配置。
- 升级/卸载:根据 C2 服务器命令管理更新或删除。
- 反向代理:允许在受害者的网络上进行远程操作。
- 杂项命令处理程序:执行各种命令,如屏幕截图捕获和Shell代码执行。
- 凭据收集器:扫描并收集敏感的用户数据,如密码和用户名。
- 可重复任务:在特定条件下执行特定任务,例如麦克风录音。
- 侦察模块:将详细的系统信息发送到 C2 服务器。
- SSH 感染者:使用收集的 SSH 凭据渗透其他系统。
- SMBv1 感染者:使用自定义的 EternalBlue 漏洞感染其他 Windows 系统。
- 门罗币挖矿模块:在伪装成“chrome.exe”时进行门罗币挖矿。
门罗币挖矿模块的存在被认为是一种转移视线掩盖意图的尝试,攻击者的真正目标是数据盗窃和由其他模块促进的系统利用。
“该恶意软件框架的有效载荷包含多个模块,使攻击者能够作为APT武器,加密矿工,甚至勒索软件组执行。”卡巴斯基的报告中写道。
卡巴斯基专家强调,该恶意软件框架具有挖矿模块是使其能够长时间隐藏在安全研究者的视线之外的主要因素。
完整的技术报告可参考:https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/KyBtf3RdPuAtsBdI8tD2Ew
封面来源于网络,如有侵权请联系删除