StripedFly恶意软件：悄无声息运行5年，感染百万设备

导语：最近，俄罗斯网络安全公司Kaspersky发布的一项调查显示，一种名为StripedFly的高级恶意软件伪装成加密货币挖矿程序，悄无声息地在全球范围内运行了超过5年，感染了100万台设备。这是一种复杂的模块化框架，支持Linux和Windows系统。本文将为大家揭示这个隐藏了5年的恶意软件的内幕。

这款名为StripedFly的恶意软件自2016年4月起就开始运行，并在未被察觉的情况下持续了5年之久。根据Kaspersky的研究，StripedFly是一个复杂的模块化框架，支持Linux和Windows系统。该公司在2017年首次发现了这个威胁，并将其命名为StripedFly。令人震惊的是，这个恶意软件能够悄然运行如此之久，感染了100万台设备。

StripedFly恶意软件利用了一个名为EternalBlue SMBv1的漏洞，该漏洞最初被归属于方程式组织（Equation Group）。通过利用这个漏洞，恶意软件可以渗透到公开可访问的系统中。恶意软件通过漏洞传递恶意shellcode，该shellcode可以从远程Bitbucket仓库下载二进制文件，并执行PowerShell脚本。此外，恶意软件还支持一系列插件式的可扩展功能，用于收集敏感数据甚至自行卸载。

StripedFly恶意软件的shellcode被注入到wininit.exe进程中，这是一个合法的Windows进程，由引导管理器（BOOTMGR）启动，并处理各种服务的初始化。安全研究人员Sergey Belov、Vilen Kamalov和Sergey Lozhkin在最近发布的技术报告中指出：“恶意软件本身的有效负载结构是一个单体的二进制可执行代码，旨在支持可插拔模块以扩展或更新其功能。”该恶意软件还配备了一个内置的TOR网络隧道，用于与命令服务器进行通信，并通过GitLab、GitHub和Bitbucket等受信任的服务进行更新和交付。

此外，恶意软件还具有其他引人注目的间谍模块，可以每两个小时收集凭据、在受害者设备上捕获屏幕截图、记录麦克风输入，并启动反向代理以执行远程操作。一旦成功入侵，恶意软件将在受感染主机上禁用SMBv1协议，并通过SMB和SSH使用从被黑系统中获取的密钥，通过蠕虫模块将恶意软件传播到其他机器。在Windows系统上，恶意软件通过修改Windows注册表或创建任务计划程序项来实现持久性；在Linux系统上，它通过systemd用户服务、自动启动的.desktop文件或修改/etc/rc*、profile、bashrc或inittab文件来实现持久性。

此外，恶意软件还会下载一个Monero加密货币挖矿程序，利用DNS over HTTPS（DoH）请求解析池服务器，以增加恶意活动的隐蔽性。研究表明，这个挖矿程序被用作干扰行为，以防止安全软件发现恶意软件的全部能力。

StripedFly恶意软件的悄然运行5年，感染了100万台设备，引发了广泛的关注。这款恶意软件利用复杂的模块化框架，支持Linux和Windows系统，通过利用EternalBlue漏洞传播。它具有多种功能和特点，包括下载二进制文件、执行PowerShell脚本、收集敏感数据等。恶意软件的真正目的尚不得而知，但其高度复杂性和与方程式组织的相似之处表明，它可能是一种高级持续性威胁（APT）行为。我们需要保持警惕，及时更新补丁和安全软件，以保护我们的设备免受此类恶意软件的侵害。