StripedFly 恶意软件框架感染 100 万台 Windows、Linux 主机

​

一个名为 StripedFly 的复杂跨平台恶意软件平台在网络安全研究人员的监视下潜伏了五年，在此期间感染了超过一百万个 Windows 和 Linux 系统。

卡巴斯基去年发现了该恶意框架的真实本质，发现了该框架自 2017 年开始活动的证据，该恶意软件被错误地归类为门罗币加密货币挖矿程序。

分析师将 StripedFly 描述为令人印象深刻，具有基于 TOR 的复杂流量隐藏机制、来自可信平台的自动更新、类似蠕虫的传播功能以及在公开披露缺陷之前创建的自定义 EternalBlue SMBv1 漏洞。

虽然尚不清楚该恶意软件框架是否用于创收或网络间谍活动，但卡巴斯基表示，其复杂程度表明这是一种 APT（高级持续威胁）恶意软件。

根据该恶意软件的编译器时间戳，已知最早的具有 EternalBlue 漏洞的 StripedFly 版本是在 2016 年 4 月，而 Shadow Brokers 组织的公开泄露 发生在 2016 年 8 月。

​

StripedFly 在超过一百万个系统中使用

​StripedFly 恶意软件框架是在卡巴斯基发现该平台的 shellcode 注入到 WININIT.EXE 进程（一个处理各种子系统初始化的合法 Windows 操作系统进程）后首次被发现的。

在调查注入的代码后，他们确定它从 Bitbucket、GitHub 和 GitLab 等合法托管服务（包括 PowerShell 脚本）下载并执行其他文件，例如 PowerShell 脚本。

进一步调查显示，受感染的设备可能首先是使用针对暴露于互联网的计算机的自定义 EternalBlue SMBv1 漏洞而遭到破坏。

最终的 StripedFly 有效负载 (system.img) 具有自定义的轻量级 TOR 网络客户端，以保护其网络通信免遭拦截，能够禁用 SMBv1 协议，并使用 SSH 和 EternalBlue 传播到网络上的其他 Windows 和 Linux 设备。

该恶意软件的命令和控制 (C2) 服务器位于 TOR 网络上，与其通信涉及包含受害者唯一 ID 的频繁信标消息。​

​

        StripedFly的感染链 （卡巴斯基）

为了在 Windows 系统上保持持久性，StripedFly 根据其运行的权限级别和 PowerShell 的存在来调整其行为。

如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。如果 PowerShell 可用，它会执行用于创建计划任务或修改 Windows 注册表项的脚本。

在 Linux 上，恶意软件采用名称“ sd-pam ”。它使用 systemd 服务、自动启动 .desktop 文件或通过修改各种配置文件和启动文件（例如 /etc/rc*、 profile、 bashrc或 inittab 文件）来实现持久性。

在 Windows 系统上提供最后阶段有效负载的 Bitbucket 存储库表明，2023 年 4 月至 2023 年 9 月期间，已有近 60,000 个系统感染。

据估计，自 2022 年 2 月以来，StripedFly 已感染至少 220,000 个 Windows 系统，但该日期之前的统计数据不可用，并且该存储库创建于 2018 年。

​

自 2023 年 4 月以来的有效负载下载计数 （卡巴斯基）

​恶意软件模块

该恶意软件作为具有可插入模块的整体二进制可执行文件运行，使其具有通常与 APT 操作相关的操作多功能性。

以下是卡巴斯基报告中对 StripedFly 模块的总结：

配置存储：存储加密的恶意软件配置。

— 升级/卸载：根据 C2 服务器命令管理更新或删除。

—反向代理：允许在受害者网络上进行远程操作。

其他命令处理程序：执行各种命令，例如屏幕截图捕获和 shellcode 执行。

—.凭据收集器：扫描并收集密码和用户名等敏感用户数据。

—.可重复任务：在特定条件下执行特定任务，例如麦克风录音。

—.侦察模块：将详细的系统信息发送到 C2 服务器。

—.SSH 感染者：使用获取的 SSH 凭据来渗透其他系统。

—.SMBv1 感染者：使用自定义的 EternalBlue 漏洞蠕虫进入其他 Windows 系统。

—.门罗币挖掘模块：伪装成“chrome.exe”进程挖掘门罗币

“卡巴斯基专家强调，挖掘模块是恶意软件长时间逃避检测的主要因素。”

研究人员还发现了勒索软件变体ThunderCrypt的链接，该变体利用“ghtyqipha6mcwxiz[.]onion:1111”处的同一 C2 服务器。

https://www.bleepingcomputer.com/forums/t/646156/a-new-ransomware-called-thundercrypt-infects-eyny-forum/

原文始发于微信公众号（HackerTux）：StripedFly 恶意软件框架感染 100 万台 Windows、Linux 主机