StripedFly恶意软件框架感染了100万台Windows和Linux主机

news2024/11/24 0:56:04

图片

导语


近日,一款名为StripedFly的恶意软件框架在网络安全研究人员的监视之外悄然感染了超过100万台Windows和Linux系统。这款跨平台的恶意软件平台在过去的五年中一直未被察觉。在去年,卡巴斯基实验室发现了这个恶意框架的真实本质,并发现其活动始于2017年。尽管一开始被错误地归类为仅仅是一种门罗币挖矿软件,但分析人员认为StripedFly非常令人印象深刻,具备复杂的TOR基于流量隐藏机制、来自可信平台的自动更新、类似蠕虫的传播能力以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞利用。

StripedFly恶意软件的威胁


StripedFly恶意软件的真实目的尚不清楚,是为了牟利还是为了进行网络间谍活动。然而,卡巴斯基实验室表示,StripedFly的复杂性表明这是一种高级持续性威胁(APT)恶意软件。根据恶意软件的编译时间戳,StripedFly最早的已知版本具备EternalBlue漏洞利用的功能可以追溯到2016年4月,而Shadow Brokers组织的公开泄露发生在2016年8月。StripedFly恶意软件框架最早是通过在合法的Windows操作系统进程WININIT.EXE中注入Shellcode来发现的。经过调查注入的代码,研究人员发现它会从像Bitbucket、GitHub和GitLab这样的合法托管服务下载和执行其他文件,如PowerShell脚本。进一步的调查显示,被感染的设备很可能是通过针对互联网暴露的计算机使用自定义的EternalBlue SMBv1漏洞利用进行入侵的。

图片

StripedFly的传播方式


StripedFly恶意软件的最终载荷(system.img)具备轻量级自定义TOR网络客户端,以保护其网络通信免受拦截,同时具备禁用SMBv1协议的能力,并利用SSH和EternalBlue在网络上传播到其他Windows和Linux设备。该恶意软件的命令与控制(C2)服务器位于TOR网络上,与其通信涉及频繁的信标消息,其中包含受害者的唯一ID。

StripedFly的独特特征


为了在Windows系统上实现持久性,StripedFly根据其运行的特权级别和PowerShell的存在调整其行为。如果没有PowerShell,它会在%APPDATA%目录中生成一个隐藏文件。如果有PowerShell,它会执行创建计划任务或修改Windows注册表键的脚本。在Linux上,该恶意软件以’sd-pam’的名字出现。它通过systemd服务、自动启动的.desktop文件或修改各种配置文件和启动文件(例如/etc/rc*、profile、bashrc或inittab文件)来实现持久性。

图片

总结


根据卡巴斯基实验室的估计,StripedFly恶意软件框架已感染超过100万台设备。这款恶意软件作为一个单体二进制可执行文件,具备可插拔模块,使其具备常与APT操作相关的操作灵活性。除了门罗币挖矿模块外,StripedFly还具备其他模块,使得威胁行为更加多样化,包括数据窃取和系统利用。卡巴斯基实验室强调,门罗币挖矿模块是StripedFly能够长期逃避检测的主要因素。此外,研究人员还发现了与勒索软件变种ThunderCrypt的联系,后者利用相同的C2服务器“ghtyqipha6mcwxiz[.]onion:1111”。StripedFly的“可重复任务模块”还暗示了攻击者可能对某些受害者的收入产生兴趣。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1145133.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

网络流学习笔记

网络流基础 基本概念 源点(source) s s s,汇点 t t t。 容量:约等于边权。不存在的边流量可视为 0 0 0。 ( u , v ) (u,v) (u,v) 的流量通常记为 c ( u , v ) c(u,v) c(u,v)(capacity)。 流&#xff…

SDK 控件

目录 控件 控件创建 控件的消息处理 总代码 本篇文章对控件的学习,只是对基础的部分,简单的使用,包括消息的处理上,并不涉及深入的内容。 控件 区分控件,资源: SDK通常提供了一系列常用的用户界面控件…

san.js源码解读之模版解析(parseTemplate)篇——readIdent函数

一、源码分析 /*** 读取ident* 这里的 ident 指标识符(identifier),也就是通常意义上的变量名* 这里默认的变量名规则为:由美元符号($)、数字、字母或者下划线(_)构成的字符串** inner* param {Walker} walker 源码读取对象* return {string}*/ functio…

虎去兔来(C++)

系列文章目录 进阶的卡莎C++_睡觉觉觉得的博客-CSDN博客数1的个数_睡觉觉觉得的博客-CSDN博客双精度浮点数的输入输出_睡觉觉觉得的博客-CSDN博客足球联赛积分_睡觉觉觉得的博客-CSDN博客大减价(一级)_睡觉觉觉得的博客-CSDN博客小写字母的判断_睡觉觉觉得的博客-CSDN博客纸币(…

python爬虫request和BeautifulSoup使用

request使用 1.安装request pip install request2.引入库 import requests3.编写代码 发送请求 我们通过以下代码可以打开豆瓣top250的网站 response requests.get(f"https://movie.douban.com/top250")但因为该网站加入了反爬机制,所以…

Python---练习:有一物,不知其数,三三数之余二,五五数之余三,七七数之余二,问物几何?

案例: 有一物,不知其数,三三数之余二,五五数之余三,七七数之余二,问物几何? 人话: 有一个数字,不知道具体是多少,用3去除剩2,用5去除剩3&#…

Vue 3.3.6 ,得益于WeakMap,比之前更快了

追忆往昔,穿越前朝,CSS也是当年前端三剑客之一,风光的很,随着前端跳跃式的变革,CSS在现代前端开发中似乎有点默默无闻起来。 不得不说当看到UnoCss之前,我甚至都还没听过原子化CSS[1]这个概念(…

业界中说的快速原型法是什么

快速原型法是一种软件开发过程,其核心思想是在开发初期快速构建一个系统的原型,即一个工作模型,以便用户和开发者能够更好地理解系统的需求和功能。这种方法强调快速迭代和用户参与,目的是更早地发现和修正问题,从而提…

微软:Octo Tempest是最危险的金融黑客组织之一

导语 最近,微软发布了一份关于金融黑客组织Octo Tempest的详细报告。这个组织以其高级社交工程能力而闻名,专门针对从事数据勒索和勒索软件攻击的企业。Octo Tempest的攻击手段不断演变,目标范围也不断扩大,成为了电缆电信、电子邮…

回流重绘零负担,网页加载快如闪电

🎬 江城开朗的豌豆:个人主页 🔥 个人专栏 :《 VUE 》 《 javaScript 》 📝 个人网站 :《 江城开朗的豌豆🫛 》 ⛺️ 生活的理想,就是为了理想的生活 ! 目录 ⭐ 专栏简介 📘 文章引言 一、回…

椭圆曲线点加的应用计算

一、点加应用 1.1 背景 假设一条椭圆曲线方程为 y^2 =x^3+ax+b确定这条椭圆曲线方程参数是p,a,b,G,n,h,除了参数a,b ,其他参数的意义 p为质数,(mod p)运算G为基点n为点G的阶h是椭圆曲线上所有点的个数m与n相除的商的整数部分1.2 方程(y^2 =x^3+x+6,P=11) 椭圆曲线方程y…

原始流,缓冲流性能比较

一.低级字节流一个一个字节复制 1.代码 package org.example;import java.io.*;public class day13 {//原视频路径private static final String file1 "D:\\temp\\day05\\改名.mp4";//目的视频路径private static final String file2 "D:\\temp\\day05\\不改…

消息队列中间件面试笔记总结RabbitMQ,Kafka,RocketMQ

文章目录 (一) Rabbit MQRabbitMQ 核心概念消息队列的作用Exchange(交换器)Broker(消息中间件的服务节点)如何保证消息的可靠性如何保证 RabbitMQ 消息的顺序性如何保证 RabbitMQ 高可用的?如何解决消息队列的延时以及过期失效问题消息堆积问…

服务运营 |论文解读: 住院病人“溢出”:一种近似动态规划方法

摘要 在住院床位管理中,医院通常会将住院病人分配到相对应的专科病房,但随着病人的入院和出院,可能会出现病人所需的专科病房满员,而其他病房却有空余床位的情况。于是就有了 "溢出 "策略,即当病人等候时间…

温湿度计传感器DHT11控制数码管显示verilog代码及视频

名称:温湿度计传感器DHT11控制数码管显示 软件:QuartusII 语言:Verilog 代码功能: 使用温湿度传感器DHT11采集环境的温度和湿度,并在数码管显示 本代码已在开发板验证 开发板资料: 大西瓜第一代FPGA升级…

leetCode 229. 多数元素 II + 摩尔投票法 + 进阶 + 优化空间

229. 多数元素 II - 力扣(LeetCode) 给定一个大小为 n 的整数数组,找出其中所有出现超过 ⌊ n/3 ⌋ 次的元素。 进阶:尝试设计时间复杂度为 O(n)、空间复杂度为 O(1)的算法解决此问题。 (1)哈希表 class …

Android-宝宝相册(第四次作业)

第四次作业-宝宝相册 题目 用Listview建立宝宝相册,相册内容及图片可自行设定,也可在资料文件中获取。给出模拟器仿真界面及代码截图。 (参考例4-8) 创建工程项目 创建名为baby的项目工程,最后的工程目录结构如下图所…

Linux 基本语句_8_C语言_文件控制

为了解决多个进程同时操作一个文件,产生一些情况,通常对文件进行上锁,已解决对共享文件的竞争 对打开文件进行各种操作: int fcentl(int fd, int cmd, .../*arg*/如果cmd与锁操作有关,那么fcentl函数的第三个参数就要…

从Mysql架构看一条查询sql的执行过程

1. 通信协议 我们的程序或者工具要操作数据库,第一步要做什么事情? 跟数据库建立连接。 首先,MySQL必须要运行一个服务,监听默认的3306端口。在我们开发系统跟第三方对接的时候,必须要弄清楚的有两件事。 第一个就是通…

38基于matlab的期货预测,利用PSO优化SVM和未优化的SVM进行对比,得到实际输出和期望输出结果。

基于matlab的期货预测,利用PSO优化SVM和未优化的SVM进行对比,得到实际输出和期望输出结果。线性核函数、多项式、RBF核函数三种核函数任意可选,并给出均方根误差,相对误差等结果,程序已调通,可直接运行。 3…