بدافزار StripedFly که پیش از این تصور میشد یک کریپتوماینر است در واقع یک پلتفرم جاسوسی پیچیده برای سیستمهای ویندوزی و لینوکسی بوده است که میتواند در حملاتی از جمله حملات باجافزاری، جاسوسافزاری و حملات تهدید مانای پیشرفته( APT ) مورد استفاده قرار گیرد. این بدافزار در پنج سال فعالیت خاموش خود تاکنون بیش از یک میلیون سیستم ویندوزی و لینوکسی را آلوده کرده است. کسپرسکی این بدافزار را برای اولین بار در سال 2022 میلادی شناسایی کرد اما شواهدی وجود دارد که نشان میدهد این بدافزار فعالیتش را به عنوان ماینر ارز دیجیتال از سال 2016 میلادی آغاز کرده است. این بدافزار قابلیتهای پیشرفتهای دارد که عبارتند از:
• سرقت کلمه عبور
• ذخیره اسکرینشات صفحه قربانی
• استفاده از روش پنهانسازی ترافیک ارتباطی مبتنی بر TOR
• بهروزرسانی خودکار
• اکسپلویت سفارشی آسیبپذیری EternalBlue SMBv1
• و قابلیتهای انتشار کرمگونه در شبکه
زنجیره آلودگی بدافزار StripedFly در شکل زیر نشان داده میشود. این بدافزار اولین بار با شناسایی شِلکد مخربی که به پردازه WININIT.EXE تزریق شده بود، توسط کسپرسکی اعلام شد. WININIT.EXE فرآیند قانونی سیستم عامل ویندوز است که راهاندازی زیرسیستمهای مختلف را کنترل میکند. پس از بررسی شِلکد تزریقشده، مشخص شد که فایلهای اضافی مانند اسکریپتهای پاورشل از سرویسهای قانونی مانند بیت باکت، گیت هاب و گیت لب دانلود و اجرا میشوند. بررسیهای بیشتر مشخص کرد که سیستمهای آلوده احتمالا برای اولین بار با استفاده از اکسپلویت سفارشی EternalBlue SMBv1 که کامپیوترهای در معرض اینترنت را هدف قرار میداد مورد نفوذ قرار گرفتهاند. آخرین پیلود این بدافزار (system.img) از یک کلاینت شبکه TOR برای محافظت از شنود ارتباطات شبکهاش استفاده کرده است. همچنین قابلیت غیرفعال کردن پروتکل SMBv1و توزیع و آلودهسازی سایر سیستمهای ویندوز و لینوکس درون شبکه هدف با استفاده از پروتکلهای SSH و EternalBlue را دارد.
StripedFly برای ماندگاری در سیستمهای ویندوزی، رفتار خود را بر اساس سطح امتیازاتی که روی آن اجرا میشود و وجود پاورشل در سیستم تنظیم میکند. در صورت وجود پاورشل، اسکریپتهایی را برای ایجاد تسکهای زمانبندی شده یا تغییر کلیدهای رجیستری ویندوز اجرا میکند. این کار باعث میشود که بدافزار پس از راهاندازی مجدد سیستم نیز اجرا شود. در صورت عدم وجود پاورشل، فایلی مخفی در دایرکتوری %APPDATA% ایجاد میکند که حاوی کدی برای راهاندازی مجدد سیستم است. در سیستمعامل لینوکس، برای ماندگاری در سیستم سرویس "sd - pam" را برگزیده است. sd-pam سرویس systemd است که برای مدیریت ورود به سیستم استفاده میشود. بدافزار از این سرویس برای ایجاد سرویسی جدید استفاده میکند که پس از راهاندازی مجدد سیستم اجرا شود.
مخازن بیتباکت که پیلود نهایی را به سیستمهای ویندوزی رساندهاند نشان میدهد که بین آوریل ۲۰۲۳ تا سپتامبر ۲۰۲۳، نزدیک به ۶۰ هزار سیستم آلوده شده است. این بدان معناست که StripedFly هماکنون در حال توزیع بوده و شمار سیستمهای آلوده در حال افزایش است. برآورد می شود که StripedFly از فوریه ۲۰۲۲ حداقل ۲۲۰ هزار سیستم ویندوز را آلوده کرده که تعداد بسیار قابلتوجهی است. متاسفانه آمار قبل از آن در دسترس نیست. بدین ترتیب ممکن است StripedFly مدتها قبل از سال ۲۰۲۲ وجود داشته و تعداد سیستمهای آلوده بسیار بیشتر باشد. کسپرسکی تخمین میزند در پنج سال گذشته، بیش از ۱ میلیون سیستم با StripedFly آلوده شدهاند.
این بدافزار، به عنوان یک فایل اجرایی باینری یکپارچه با مولفههای قابل اتصال عمل میکند و به نظر میرسد با عملیاتهای حملات APT تطابق دارد. برخی از ماژولهای این بدافزار عبارتند از:
• Configuration storage: پیکربندی بدافزار را به صورت رمزگذاری شده ذخیره میکند.
• Upgrade/Uninstall: به روز رسانی یا حذف را بر اساس دستورات سرور C2 مدیریت میکند.
• Reverse proxy: اجازه دسترسی از راه دور به شبکه قربانی را میدهد.
• Miscellaneous command handler: دستورات مختلف اعم از اجرای پاورشل و ذخیره اسکرینشات را اجرا میکند.
• Credential harvester: دادههای حساس کاربران مانند کلمات عبور و نامهای کاربری افراد را اسکن و جمعآوری میکند.
• Repeatable tasks : وظایف خاصی را تحت شرایط خاصی انجام میدهد، برای نمونه ضبط صدا.
• Recon module : اطلاعات دقیق سیستم را به سرور C2 ارسال میکند.
• SSH infector: از اعتبارنامههای SSH برای نفوذ به سیستمهای دیگر استفاده میکند.
• SMBv1 infector: با استفاده از اکسپلویت سفارشی EternalBlue به سایر سیستمهای ویندوز نفوذ میکند. این کار ممکن است با استفاده از آلودگی از طریق کرمها باشد.
• Monero mining module : استخراج monero، در حالی که به عنوان فرآیند در chrome.exe استتار شده است.
حضور ماینر کریپتو Monero باعث انحراف افکاری عمومی برای ماهیت واقعی این بدافزار شده بود. در ابتدا StripedFly به عنوان یک بدافزار استخراج ارز دیجیتال در نظر گرفته میشد. این تصور ناشی از این واقعیت بود که بدافزار دارای ماینر Monero بود که از پردازنده سیستم آلوده برای استخراج ارز دیجیتال استفاده میکرد. با این حال، تحقیقات بیشتر نشان داد که StripedFly تواناییهای دیگری نیز دارد. در گزارش کسپرسکی اشاره شده است که پیلود بدافزار شامل مولفه های مختلفی است که هر یک برای هدفی خاص طراحی شدهاند. این مولفهها به تفکیک اهدافشان عبارتند از:
• مولفه استخراج Monero؛
• مولفه سرقت اطلاعات؛
• مولفه بهرهبرداری از آسیبپذیریهای سیستم؛
• مولفه اجرای حملات باجافزاری.
علت وجود مولفه استخراج Monero آن است که ارز دیجیتالMonero، تا اواسط سال 2018 به اوج ارزش خود رسید (542.33 دلار) ؛ این در حالی است که در سال 2017، 10 دلار بود. ارزش بالای ارز دیجیتال Monero باعث میشود که استخراج این ارز برای مهاجمان جذاب باشد. لیکن وجود این مولفه برای بدافزار مزیتی دیگر داشت. کارشناسان امنیتی تاکید دارند که ماژول استخراج، عامل اصلی بود که باعث شد بدافزار، برای مدت طولانی قابل شناسایی نباشد. مهاجمان از مولفه استخراج Monero برای پنهان کردن فعالیتهای مخرب خود استفاده میکردند.
همچنین ارتباطاتی میان این بدافزار و باج افزارThunderCrypt شناسایی شد که نشان میدهد ممکن است هر دو بدافزار توسط یک گروه توسعهدهنده ایجاد شده باشند. متاسفانه این امر بیانگر آن است که مهاجمان میتوانند از چندین بدافزار برای رسیدن به اهداف خود استفاده کنند.
با توجه به گستردگی بدافزار توصیه میشود سیستم خود را نسبت به وجود علائم آلودگی به این بدافزار بررسی نمایید.
ارتباط با سرور فرماندهی و کنترل:
gpiekd65jgshwp2p53igifv43aug2adacdebmuuri34hduvijr5pfjad[.]onion ghtyqipha6mcwxiz[.]onion ajiumbl2p2mjzx3l[.]onion
ارتباطات شبکهای با:
bitbucket[.]org/JulieHeilman/m100-firmware-mirror/downloads/ bitbucket[.]org/upgrades/um/downloads/ bitbucket[.]org/legit-updates/flash-player/downloads gitlab[.]com/JulieHeilman/m100-firmware-mirror/raw/master/ gitlab[.]com/saev3aeg/ugee8zee/raw/master/ github[.]com/amf9esiabnb/documents/releases/download/ tcp://pool.minexmr[.]com:4444 tcp://mine.aeon-pool[.]com:5555 tcp://5.255.86[.]125:8080 tcp://45.9.148[.]21:80 tcp://45.9.148[.]36:80 tcp://45.9.148[.]132:8080
وجود فایلهایی با هشهای زیر در سیستم:
system.img
b28c6d00855be3b60e220c32bfad2535 18f5ccdd9efb9c41aa63efbe0c65d3db 2cdc600185901cf045af027289c4429c 54dd5c70f67df5dc8d750f19ececd797 d32fa257cd6fb1b0c6df80f673865581 c04868dabd6b9ce132a790fdc02acc14 c7e3df6455738fb080d741dcbb620b89 d684de2c5cfb38917c5d99c04c21769a a5d3abe7feb56f49fa33dc49fea11f85 35fadceca0bae2cdcfdaac0f188ba7e0
delta.dat
00c9fd9371791e9160a3adaade0b4aa2 41b326df0d21d0a8fad6ed01fec1389f
delta.img
506599fe3aecdfb1acc846ea52adc09f 6ace7d5115a1c63b674b736ae760423b
ota.dat
2e2ef6e074bd683b477a2a2e581386f0 04df1280798594965d6fdfeb4c257f6c
ota.img
abe845285510079229d83bb117ab8ed6 090059c1786075591dec7ddc6f9ee3eb
ThunderCrypt
120f62e78b97cd748170b2779d8c0c67 d64361802515cf32bd34f98312dfd40d
منبع خبر
https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/
- 132