StripedFly 惡意軟體

網路安全專家發現了一種名為 StripedFly 的極其先進的惡意軟體，資訊安全社群以前不知道這種惡意軟體。該惡意軟體已展現出全球影響力，至少自2017 年以來，針對並影響了超過100 萬受害者。它最初偽裝成加密貨幣挖掘工具，後來被發現是一種複雜且多功能的惡意軟體，具有多面向、自我傳播的框架。

StripedFly 可能已感染超過一百萬個系統

StripedFly 惡意軟體框架在研究人員偵測後曝光，他們發現框架存在於 WININIT.EXE 進程中，WININIT.EXE 進程是 Windows 作業系統的合法元件，負責啟動各種子系統。

在深入研究注入的程式碼後，我們發現 StripedFly 會從 Bitbucket、GitHub 和 GitLab 等合法託管平台啟動其他檔案的下載和執行，尤其是 PowerShell 腳本。進一步分析顯示，該惡意軟體可能透過客製化的 EternalBlue SMBv1 漏洞滲透到裝置中，主要針對暴露在網路上的電腦。

最終的 StripedFly 有效負載名為“system.img”，包含一個專有的輕量級 TOR 網路用戶端，以保護其網路通訊免遭攔截。它還具有停用 SMBv1 協定並使用 SSH 和 EternalBlue 將自身傳播到網路上的其他 Windows 和 Linux 裝置的功能。 StripedFly 的命令與控制（C2、C&C）伺服器在 TOR 網路內運行，透過包含唯一受害者 ID 的頻繁信標訊息來維持通訊。

為了在 Windows 系統上建立持久性，StripedFly 根據權限等級和 PowerShell 的存在來調整其方法。如果沒有 PowerShell，它會在 %APPDATA% 目錄中產生一個隱藏檔案。當 PowerShell 可用時，惡意軟體會執行腳本來建立排程任務或變更 Windows 登錄項目。

在 Linux 上，StripedFly 採用綽號「sd-pam」。此平台上的持久性是透過 systemd 服務、自動啟動 .desktop 檔案或修改各種設定檔和啟動檔案（包括 /etc/rc*、profile、bashrc 或 inittab 檔案）來實現的。

負責向 Windows 系統交付最後階段負載的 Bitbucket 儲存庫的數據表明，2023 年 4 月至 2023 年 9 月期間，近 60,000 個系統被 StripedFly 感染。不過，研究人員估計，受 StripedFly 框架影響的設備總數可能超過 100 萬台。

StripedFly 惡意軟體中發現了許多專用模組

該惡意軟體被設計為具有適應性模組的單一、獨立的二進位可執行文件，為其提供通常與高級持續性威脅 (APT) 操作相關的操作靈活性：

• 配置儲存：此模組安全地儲存加密的惡意軟體配置。
• 升級/卸載：負責根據從命令與控制 (C2) 伺服器收到的命令管理更新或刪除。
• 反向代理：在受害者網路內啟用遠端操作。
• 其他命令處理程序：執行各種命令，包括擷取螢幕截圖和執行 shellcode。
• 憑證收集器：掃描並檢索敏感使用者數據，例如密碼和使用者名稱。
• 可重複任務：在預定義條件下執行特定任務，例如從麥克風錄製音訊。
• 偵察模組：將全面的系統資訊傳送到 C2 伺服器。
• SSH 感染者：利用所獲得的 SSH 憑證滲透其他系統。
• SMBv1 感染者：透過利用自訂 EternalBlue 漏洞傳播到其他 Windows 系統。
• 門羅幣挖礦模組：挖掘門羅幣加密貨幣，將自己偽裝成「chrome.exe」進程。

包含門羅幣加密貨幣挖礦模組被視為試圖轉移注意力，因為威脅行為者的主要目標是在其他模組的推動下圍繞資料竊取和系統利用。