Kelių licencijų nuolaidos
Threat Database Malware „StripedFly“ kenkėjiška programa

„StripedFly“ kenkėjiška programa

Autorius Mezo, Malware, Stealers
Versti į:
Lietuvių

Kibernetinio saugumo ekspertai aptiko išskirtinai pažangią kenkėjiškų programų atmainą, vadinamą StripedFly, kuri iki tol nebuvo žinoma infosec bendruomenei. Nuo 2017 m. ši kenkėjiška programa pademonstravo pasaulinį poveikį, taikėsi ir paveikė daugiau nei vieną milijoną aukų. Iš pradžių buvo užmaskuota kaip kriptovaliutų gavybos įrankis, tačiau paaiškėjo, kad tai sudėtinga ir universali kenkėjiška programa, turinti daugialypę, savaime plintančią sistemą. .

„StripedFly“ galėjo užkrėsti daugiau nei milijoną sistemų

„StripedFly“ kenkėjiškų programų sistema išaiškėjo po to, kai ją aptiko mokslininkai, kurie nustatė jos buvimą WININIT.EXE procese – teisėtame „Windows“ OS komponente, atsakingame už įvairių posistemių inicijavimą.

Pasigilinus į įvestą kodą tapo akivaizdu, kad StripedFly inicijuoja papildomų failų, ypač PowerShell scenarijų, atsisiuntimą ir vykdymą iš teisėtų prieglobos platformų, tokių kaip Bitbucket, GitHub ir GitLab. Tolesnė analizė atskleidė, kad kenkėjiška programa greičiausiai įsiskverbė į įrenginius per pritaikytą EternalBlue SMBv1 pažeidžiamumo išnaudojimą, pirmiausia nukreipdama į kompiuterius, kuriuose veikia internetas.

Galutinė StripedFly naudingoji apkrova, pavadinta „system.img“, apima patentuotą lengvą TOR tinklo klientą, kad apsaugotų tinklo ryšį nuo perėmimo. Jis taip pat turi galimybę išjungti SMBv1 protokolą ir skleisti save į kitus „Windows“ ir „Linux“ įrenginius tinkle naudojant SSH ir „EternalBlue“. „StripedFly“ komandų ir valdymo (C2, C&C) serveris veikia TOR tinkle, palaikydamas ryšį per dažnus švyturių pranešimus, kuriuose yra unikalus aukos ID.

Siekdama užtikrinti „Windows“ sistemų patvarumą, „StripedFly“ pritaiko savo požiūrį pagal privilegijų lygį ir „PowerShell“ buvimą. Jei nėra „PowerShell“, jis sugeneruoja paslėptą failą %APPDATA% kataloge. Kai pasiekiama „PowerShell“, kenkėjiška programa vykdo scenarijus, kad sukurtų suplanuotas užduotis arba pakeistų „Windows“ registro raktus.

„Linux“ sistemoje StripedFly naudoja pravardę „sd-pam“. Išlikimas šioje platformoje pasiekiamas naudojant sistemines paslaugas, automatiškai paleidžiamus .desktop failus arba modifikuojant įvairius profilio ir paleisties failus, įskaitant /etc/rc*, profile, bashrc arba inittab failus.

Duomenys iš Bitbucket saugyklos, atsakingos už galutinio etapo naudingosios apkrovos pristatymą į Windows sistemas, rodo, kad nuo 2023 m. balandžio mėn. iki 2023 m. rugsėjo mėn. beveik 60 000 sistemų buvo užkrėstos StripedFly. Tačiau mokslininkai skaičiuoja, kad bendras „StripedFly“ sistemos paveiktų įrenginių skaičius gali viršyti milijoną.

„StripedFly“ kenkėjiškoje programoje rasta daugybė specializuotų modulių

Kenkėjiška programa sukurta kaip vienas, savarankiškas dvejetainis vykdomasis failas su pritaikomais moduliais, suteikiantis jai veikimo lankstumo, paprastai siejamo su išplėstinės nuolatinės grėsmės (APT) operacijomis:

  • Konfigūracijos saugykla: šis modulis saugiai saugo užšifruotą kenkėjiškų programų konfigūraciją.
  • Atnaujinti / pašalinti: atsakingas už naujinimų valdymą arba pašalinimą pagal komandas, gautas iš komandų ir valdymo (C2) serverio.
  • Atvirkštinis tarpinis serveris: įgalina nuotolinius veiksmus aukos tinkle.
  • Įvairios komandų tvarkyklės: Vykdo įvairias komandas, įskaitant ekrano kopijų fiksavimą ir apvalkalo kodo paleidimą.
  • Kredencialų rinktuvas: nuskaito ir nuskaito slaptus vartotojo duomenis, pvz., slaptažodžius ir naudotojų vardus.
  • Pakartojamos užduotys: atlieka konkrečias užduotis iš anksto nustatytomis sąlygomis, pavyzdžiui, įrašo garsą iš mikrofono.
  • Recon Module: siunčia išsamią sistemos informaciją į C2 serverį.
  • SSH Infector: naudoja surinktus SSH kredencialus, kad įsiskverbtų į kitas sistemas.
  • SMBv1 Infector: plinta į kitas Windows sistemas, naudodamas tinkintą EternalBlue pažeidžiamumą.
  • Monero kasybos modulis: iškasa Monero kriptovaliutą, užmaskuodamas save kaip „chrome.exe“ procesą.

„Monero“ kriptovaliutų kasybos modulio įtraukimas laikomas bandymu nukreipti dėmesį, nes pagrindiniai grėsmės veikėjų tikslai yra susiję su duomenų vagyste ir sistemos išnaudojimu, kurį palengvina kiti moduliai.

Tendencijos

Jūsų vardu yra pradelstas mokėjimas

Fake Warning Messages
Sukčiavimas „Jūsų vardu pavėluotas mokėjimas“ gali suklaidinti daugybę kompiuterių vartotojų ir manyti, kad jie turi kažkokį pradelstą mokėjimą. Sukčiavimas gali būti atsiunčiamas el. paštu ir atrodo gana teisėtas, nes temos lauke parašyta „Jūsų vardu yra pradelstas mokėjimas“, tačiau pranešimo tekste ji gali atskleisti jos neteisėtumą. Kompiuterių naudotojai turi saugotis sukčiavimo „Jūsų...

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
19,863
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...