日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

一個名為 StripedFly 的跨平臺惡意軟件在網(wǎng)絡(luò)安全研究人員的眼皮底下潛伏了 5 年，期間感染了 100 多萬臺 Windows 和 Linux 系統(tǒng)。

創(chuàng)新互聯(lián)主營蒙城網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app開發(fā)定制,蒙城h5小程序開發(fā)搭建,蒙城網(wǎng)站營銷推廣歡迎蒙城等地區(qū)企業(yè)咨詢

卡巴斯基去年發(fā)現(xiàn)了這個惡意框架，并找到了它從2017年開始活動的證據(jù)。

分析師表示，StripedFly擁有復(fù)雜的基于 TOR 的流量隱藏機制、來自可信平臺的自動更新、蠕蟲式傳播能力，以及在公開披露漏洞之前創(chuàng)建的自定義 EternalBlue SMBv1 漏洞利用程序。

雖然目前還不清楚這個惡意軟件框架是用于創(chuàng)收還是網(wǎng)絡(luò)間諜活動，但卡巴斯基表示，它的復(fù)雜性表明這是一個 APT（高級持續(xù)威脅）惡意軟件。

根據(jù)該惡意軟件的編譯器時間戳，StripedFly最早的已知版本是2016年4月，其中包含一個EternalBlue漏洞，而Shadow Brokers組織的公開泄露發(fā)生在2016年8月。

StripedFly感染超 100 萬個系統(tǒng)

卡巴斯基首次發(fā)現(xiàn)StripedFly惡意軟件框架是在WININIT.EXE進程中注入了該平臺的shellcode之后，WININIT.EXE進程是一個合法的Windows操作系統(tǒng)進程，負責(zé)處理各種子系統(tǒng)的初始化。

在對注入的代碼進行調(diào)查后，他們確定該代碼會從 Bitbucket、GitHub 和 GitLab 等合法托管服務(wù)下載并執(zhí)行 PowerShell 腳本等其他文件。

進一步調(diào)查顯示，受感染的設(shè)備很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，該漏洞針對的是暴露在互聯(lián)網(wǎng)上的計算機。

StripedFly的最終有效載荷（system.img）采用了定制的輕量級TOR網(wǎng)絡(luò)客戶端，以保護其網(wǎng)絡(luò)通信不被攔截，能夠禁用SMBv1協(xié)議，并使用SSH和EternalBlue傳播到網(wǎng)絡(luò)上的其他Windows和Linux設(shè)備。

該惡意軟件的命令和控制（C2）服務(wù)器位于 TOR 網(wǎng)絡(luò)上，與它的通信需要頻繁發(fā)送包含受害者唯一 ID 的信標(biāo)信息。

StripedFly的感染鏈

為了在 Windows 系統(tǒng)上持久運行，StripedFly 會根據(jù)其運行的權(quán)限級別和 PowerShell 的存在調(diào)整其行為。

如果沒有 PowerShell，它會在 %APPDATA% 目錄中生成一個隱藏文件。在有 PowerShell 的情況下，它會執(zhí)行用于創(chuàng)建計劃任務(wù)或修改 Windows 注冊表鍵值的腳本。

在 Linux 上，惡意軟件的名稱為 "sd-pam"。它使用 systemd 服務(wù)、自動啟動 .desktop 文件或修改各種配置文件和啟動文件（如 /etc/rc*、profile、bashrc 或 inittab 文件）來實現(xiàn)持久性。

在 Windows 系統(tǒng)上提供最后階段有效載荷的 Bitbucket 存儲庫顯示，從 2023 年 4 月到 2023 年 9 月，已經(jīng)有近 60000 次系統(tǒng)感染。

據(jù)估計，自 2022 年 2 月以來，StripedFly 已感染了至少 22 萬個 Windows 系統(tǒng)，但該日期之前的統(tǒng)計數(shù)據(jù)無法查明，而且該存儲庫創(chuàng)建于 2018 年。

不過，卡巴斯基估計有超過 100 萬臺設(shè)備感染了 StripedFly 框架。

惡意軟件模塊

該惡意軟件以單體二進制可執(zhí)行文件的形式運行，并帶有可插拔模塊，這使其具備了通常與 APT 行動相關(guān)的多功能操作性。

以下是卡巴斯基報告中對 StripedFly 模塊的總結(jié)：

• 配置存儲： 存儲加密的惡意軟件配置。
• 升級/卸載： 根據(jù) C2 服務(wù)器命令管理更新或刪除。
• 反向代理： 允許在受害者網(wǎng)絡(luò)上進行遠程操作。
• 雜項命令處理程序： 執(zhí)行各種命令，如截圖捕獲和 shellcode 執(zhí)行。
• 憑證收集器： 掃描并收集密碼和用戶名等敏感用戶數(shù)據(jù)。
• 可重復(fù)任務(wù)： 在特定條件下執(zhí)行特定任務(wù)，如麥克風(fēng)錄音。
• 偵察模塊： 向 C2 服務(wù)器發(fā)送詳細的系統(tǒng)信息。
• SSH 感染器： 使用獲取的 SSH 憑據(jù)滲透其他系統(tǒng)。
• SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系統(tǒng)。
• Monero 挖礦模塊： 在偽裝成 "chrome.exe "進程的同時挖掘 Monero。

卡巴斯基在報告中寫道：惡意軟件的有效載荷包含多個模塊，使行為者能夠以 APT、加密貨幣礦工甚至勒索軟件群組的身份執(zhí)行任務(wù)。

值得注意的是，該模塊開采的Monero加密貨幣在2018年1月9日達到峰值542.33美元，而2017年的價值約為10美元。截至2023年，其價值一直維持在150美元左右。

卡巴斯基專家強調(diào)，挖礦模塊是該惡意軟件能夠長期逃避檢測的主要因素。

參考鏈接：https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/

文章題目：StripedFly惡意軟件框架感染100萬臺Windows和Linux主機
文章網(wǎng)址：http://www.dlmjj.cn/article/djesgjj.html