StripedFly 恶意软件

网络安全专家发现了一种名为 StripedFly 的极其先进的恶意软件，信息安全社区以前不知道这种恶意软件。该恶意软件已展现出全球影响力，至少自 2017 年以来，针对并影响了超过 100 万受害者。它最初伪装成加密货币挖掘工具，后来被发现是一种复杂且多功能的恶意软件，具有多方面、自我传播的框架。

StripedFly 可能已感染超过一百万个系统

StripedFly 恶意软件框架在研究人员检测后曝光，他们发现该框架存在于 WININIT.EXE 进程中，WININIT.EXE 进程是 Windows 操作系统的合法组件，负责启动各种子系统。

在深入研究注入的代码后，我们发现 StripedFly 会从 Bitbucket、GitHub 和 GitLab 等合法托管平台启动其他文件的下载和执行，尤其是 PowerShell 脚本。进一步分析显示，该恶意软件可能通过定制的 EternalBlue SMBv1 漏洞渗透设备，主要针对暴露在互联网上的计算机。

最终的 StripedFly 有效负载名为“system.img”，包含一个专有的轻量级 TOR 网络客户端，以保护其网络通信免遭拦截。它还具有停用 SMBv1 协议并使用 SSH 和 EternalBlue 将自身传播到网络上的其他 Windows 和 Linux 设备的功能。 StripedFly 的命令与控制（C2、C&C）服务器在 TOR 网络内运行，通过包含唯一受害者 ID 的频繁信标消息维持通信。

为了在 Windows 系统上建立持久性，StripedFly 根据权限级别和 PowerShell 的存在来调整其方法。如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。当 PowerShell 可用时，恶意软件会执行脚本来创建计划任务或更改 Windows 注册表项。

在 Linux 上，StripedFly 采用绰号“sd-pam”。此平台上的持久性是通过 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件（包括 /etc/rc*、profile、bashrc 或 inittab 文件）来实现的。

负责向 Windows 系统交付最后阶段负载的 Bitbucket 存储库的数据表明，2023 年 4 月至 2023 年 9 月期间，近 60,000 个系统被 StripedFly 感染。不过，研究人员估计，受 StripedFly 框架影响的设备总数可能超过 100 万台。

StripedFly 恶意软件中发现了许多专用模块

该恶意软件被设计为具有适应性模块的单一、独立的二进制可执行文件，为其提供通常与高级持续威胁 (APT) 操作相关的操作灵活性：

• 配置存储：该模块安全地存储加密的恶意软件配置。
• 升级/卸载：负责根据从命令与控制 (C2) 服务器收到的命令管理更新或删除。
• 反向代理：在受害者网络内启用远程操作。
• 其他命令处理程序：执行各种命令，包括捕获屏幕截图和运行 shellcode。
• 凭据收集器：扫描并检索敏感用户数据，例如密码和用户名。
• 可重复任务：在预定义条件下执行特定任务，例如从麦克风录制音频。
• 侦察模块：将全面的系统信息发送到 C2 服务器。
• SSH 感染者：利用获取的 SSH 凭据渗透其他系统。
• SMBv1 感染者：通过利用自定义 EternalBlue 漏洞传播到其他 Windows 系统。
• 门罗币挖矿模块：挖掘门罗币加密货币，将自己伪装成“chrome.exe”进程。

包含门罗币加密货币挖矿模块被视为试图转移注意力，因为威胁行为者的主要目标是在其他模块的推动下围绕数据盗窃和系统利用。