北京网站优化和推广,海南网站建设开发,成都网站建设优化推广,网站备案代码如何加到导语#xff1a;最近#xff0c;俄罗斯网络安全公司Kaspersky发布的一项调查显示#xff0c;一种名为StripedFly的高级恶意软件伪装成加密货币挖矿程序#xff0c;悄无声息地在全球范围内运行了超过5年#xff0c;感染了100万台设备。这是一种复杂的模块化框架#xff0c…
导语最近俄罗斯网络安全公司Kaspersky发布的一项调查显示一种名为StripedFly的高级恶意软件伪装成加密货币挖矿程序悄无声息地在全球范围内运行了超过5年感染了100万台设备。这是一种复杂的模块化框架支持Linux和Windows系统。本文将为大家揭示这个隐藏了5年的恶意软件的内幕。 恶意软件悄然运行5年 这款名为StripedFly的恶意软件自2016年4月起就开始运行并在未被察觉的情况下持续了5年之久。根据Kaspersky的研究StripedFly是一个复杂的模块化框架支持Linux和Windows系统。该公司在2017年首次发现了这个威胁并将其命名为StripedFly。令人震惊的是这个恶意软件能够悄然运行如此之久感染了100万台设备。 恶意软件的传播途径 StripedFly恶意软件利用了一个名为EternalBlue SMBv1的漏洞该漏洞最初被归属于方程式组织Equation Group。通过利用这个漏洞恶意软件可以渗透到公开可访问的系统中。恶意软件通过漏洞传递恶意shellcode该shellcode可以从远程Bitbucket仓库下载二进制文件并执行PowerShell脚本。此外恶意软件还支持一系列插件式的可扩展功能用于收集敏感数据甚至自行卸载。 恶意软件的功能和特点 StripedFly恶意软件的shellcode被注入到wininit.exe进程中这是一个合法的Windows进程由引导管理器BOOTMGR启动并处理各种服务的初始化。安全研究人员Sergey Belov、Vilen Kamalov和Sergey Lozhkin在最近发布的技术报告中指出“恶意软件本身的有效负载结构是一个单体的二进制可执行代码旨在支持可插拔模块以扩展或更新其功能。”该恶意软件还配备了一个内置的TOR网络隧道用于与命令服务器进行通信并通过GitLab、GitHub和Bitbucket等受信任的服务进行更新和交付。
此外恶意软件还具有其他引人注目的间谍模块可以每两个小时收集凭据、在受害者设备上捕获屏幕截图、记录麦克风输入并启动反向代理以执行远程操作。一旦成功入侵恶意软件将在受感染主机上禁用SMBv1协议并通过SMB和SSH使用从被黑系统中获取的密钥通过蠕虫模块将恶意软件传播到其他机器。在Windows系统上恶意软件通过修改Windows注册表或创建任务计划程序项来实现持久性在Linux系统上它通过systemd用户服务、自动启动的.desktop文件或修改/etc/rc*、profile、bashrc或inittab文件来实现持久性。
此外恶意软件还会下载一个Monero加密货币挖矿程序利用DNS over HTTPSDoH请求解析池服务器以增加恶意活动的隐蔽性。研究表明这个挖矿程序被用作干扰行为以防止安全软件发现恶意软件的全部能力。 总结 StripedFly恶意软件的悄然运行5年感染了100万台设备引发了广泛的关注。这款恶意软件利用复杂的模块化框架支持Linux和Windows系统通过利用EternalBlue漏洞传播。它具有多种功能和特点包括下载二进制文件、执行PowerShell脚本、收集敏感数据等。恶意软件的真正目的尚不得而知但其高度复杂性和与方程式组织的相似之处表明它可能是一种高级持续性威胁APT行为。我们需要保持警惕及时更新补丁和安全软件以保护我们的设备免受此类恶意软件的侵害。
