物联网

StripedFly 恶意软件框架感染 100 万台 Windows 和 Linux 主机

字号+作者:创站实验室来源:物联网2025-11-26 21:24:13我要评论(0)

一个名为 StripedFly 的跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年,期间感染了 100 多万台 Windows 和 Linux 系统。卡巴斯基去年发现了这个恶意框架,并找到了它

一个名为 StripedFly 的恶意跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年 ,期间感染了 100 多万台 Windows 和 Linux 系统 。软件

卡巴斯基去年发现了这个恶意框架 ,框架并找到了它从2017年开始活动的感染证据  。

分析师表示 ,恶意StripedFly拥有复杂的软件基于 TOR 的流量隐藏机制 、来自可信平台的框架自动更新、蠕虫式传播能力,感染以及在公开披露漏洞之前创建的恶意自定义 EternalBlue SMBv1 漏洞利用程序 。

虽然目前还不清楚这个恶意软件框架是香港云服务器软件用于创收还是网络间谍活动,但卡巴斯基表示 ,框架它的感染复杂性表明这是一个 APT(高级持续威胁)恶意软件 。

根据该恶意软件的恶意编译器时间戳 ,StripedFly最早的软件已知版本是2016年4月,其中包含一个EternalBlue漏洞,框架而Shadow Brokers组织的公开泄露发生在2016年8月 。

StripedFly感染超 100 万个系统

卡巴斯基首次发现StripedFly恶意软件框架是在WININIT.EXE进程中注入了该平台的建站模板shellcode之后 ,WININIT.EXE进程是一个合法的Windows操作系统进程 ,负责处理各种子系统的初始化  。

在对注入的代码进行调查后,他们确定该代码会从 Bitbucket、GitHub 和 GitLab 等合法托管服务下载并执行 PowerShell 脚本等其他文件  。

进一步调查显示,受感染的设备很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的 ,模板下载该漏洞针对的是暴露在互联网上的计算机。

StripedFly的最终有效载荷(system.img)采用了定制的轻量级TOR网络客户端,以保护其网络通信不被拦截 ,能够禁用SMBv1协议 ,并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备 。

该恶意软件的命令和控制(C2)服务器位于 TOR 网络上 ,与它的通信需要频繁发送包含受害者唯一 ID 的信标信息 。云计算

StripedFly的感染链

为了在 Windows 系统上持久运行 ,StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。

如果没有 PowerShell ,它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下  ,它会执行用于创建计划任务或修改 Windows 注册表键值的脚本 。

在 Linux 上,恶意软件的名称为 "sd-pam"。它使用 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件(如 /etc/rc*、源码库profile、bashrc 或 inittab 文件)来实现持久性。

在 Windows 系统上提供最后阶段有效载荷的 Bitbucket 存储库显示 ,从 2023 年 4 月到 2023 年 9 月  ,已经有近 60000 次系统感染 。

据估计 ,自 2022 年 2 月以来 ,StripedFly 已感染了至少 22 万个 Windows 系统 ,但该日期之前的统计数据无法查明,而且该存储库创建于 2018 年。

不过 ,卡巴斯基估计有超过 100 万台设备感染了 StripedFly 框架。

恶意软件模块

该恶意软件以单体二进制可执行文件的形式运行,高防服务器并带有可插拔模块 ,这使其具备了通常与 APT 行动相关的多功能操作性 。

以下是卡巴斯基报告中对 StripedFly 模块的总结 :

配置存储 : 存储加密的恶意软件配置。升级/卸载: 根据 C2 服务器命令管理更新或删除 。反向代理: 允许在受害者网络上进行远程操作 。杂项命令处理程序 : 执行各种命令 ,如截图捕获和 shellcode 执行。凭证收集器 : 扫描并收集密码和用户名等敏感用户数据 。可重复任务: 在特定条件下执行特定任务,如麦克风录音。侦察模块: 向 C2 服务器发送详细的系统信息。SSH 感染器 : 使用获取的 SSH 凭据渗透其他系统 。SMBv1 感染者: 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系统。Monero 挖矿模块 : 在伪装成 "chrome.exe "进程的同时挖掘 Monero。

卡巴斯基在报告中写道 :恶意软件的有效载荷包含多个模块 ,使行为者能够以 APT 、加密货币矿工甚至勒索软件群组的身份执行任务  。

值得注意的是  ,该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元 ,而2017年的价值约为10美元  。截至2023年  ,其价值一直维持在150美元左右  。

卡巴斯基专家强调 ,挖矿模块是该恶意软件能够长期逃避检测的主要因素。

参考链接:https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 新的安全漏洞影响所有 MOVEit 传输版本

    新的安全漏洞影响所有 MOVEit 传输版本

    2025-11-26 20:35

  • 如何使用启动U盘安装Win7ISO版(简易教程分享,快速安装系统!)

    如何使用启动U盘安装Win7ISO版(简易教程分享,快速安装系统!)

    2025-11-26 20:32

  • 关于环保的重要性及应对措施(保护地球,为未来奋斗)

    关于环保的重要性及应对措施(保护地球,为未来奋斗)

    2025-11-26 20:04

  • 黑鲨本地装机教程(黑鲨游戏手机本地装机教程,一步步教你打造专业级游戏设备)

    黑鲨本地装机教程(黑鲨游戏手机本地装机教程,一步步教你打造专业级游戏设备)

    2025-11-26 19:46

网友点评
精彩导读
APT 28组织成员被指控入侵北约智库

APT 28组织成员被指控入侵北约智库

黑莓Oslo将采用保时捷设计 代号Keian

黑莓Oslo将采用保时捷设计 代号Keian

使用UEFI引导安装Win10的完整教程(轻松安装Win10)

使用UEFI引导安装Win10的完整教程(轻松安装Win10)

光盘装系统教程(如何利用光盘轻松安装操作系统)

光盘装系统教程(如何利用光盘轻松安装操作系统)

勒索软件团伙声称对非洲最大的零售连锁店Shoprite发动攻击

勒索软件团伙声称对非洲最大的零售连锁店Shoprite发动攻击

热门资讯
Copyright ©2025 StripedFly 恶意软件框架感染 100 万台 Windows 和 Linux 主机 版权所有,创站实验室  滇ICP备2023006006号-21
关于我们寻求报道投稿须知商务合作版权申明sitemap