恶意软件StripedFly利用永恒之蓝漏洞,感染百万台计算机
黑客组织影子掮客(The Shadow Brokers)于2017年4月,公布美国国家安全局(NSA)开发的SMB v1漏洞“永恒之蓝(EternalBlue,CVE-2017-0144)”,时隔一个月陆续引发WannaCry、NotPetya等勒索软件的大规模攻击,后来有研究人员发现,中国黑客组织Buckeye(也称APT3、Gothic Panda)在一年前就拿来用于攻击行动,远较影子掮客于2016年8月兜售的时间还要早。
但如今,研究人员发现另一批黑客在2016年4月也开始利用这项漏洞,却直到最近才被发现其攻击行动。
安全企业卡巴斯基披露存在超过5年的恶意软件框架StripedFly,对于发现该恶意程序的踪迹,研究人员起初于2022年发现有两组恶意程序代码(Shell Code)被注入到Wininit处理程序,这些程序代码以往曾在恶意软件Equation出现,当时被误认为挖矿程序,但研究人员发现,这只是表面可见的威胁,并非攻击者的主要目的。
他们发现此Shell Code会通过Wininit处理程序从Bitbucket、GitHub、GitLab下载恶意程序,然后执行PowerShell脚本,过程中利用2017年披露的永恒之蓝漏洞,最终在受害计算机部署StripedFly。
此恶意程序酬载的文件名为system.img,具备洋葱网络的用户端功能,目的是避免网络通信遭到干扰,而在利用上述漏洞停用SMB v1通信端口之后,就能通过SSH,将StripedFly传播到位处相同内部网络的Windows、Linux计算机。研究人员根据黑客所使用的Bitbucket存储库,估计有超过100万台计算机遭到感染,其中在今年4月至9月仍有近6万台计算机受害。
而对于StripedFly的功能,研究人员指出是通过可执行文件主程序,搭配插件模块的方式运行,主要功能包含:执行攻击者下达的命令、收集帐密数据、对目标计算机进行侦察、利用SSH帐密组合尝试渗透其他计算机、利用永恒之蓝漏洞入侵其他Windows计算机、反向代理服务器、挖掘门罗币。值得留意的是,研究人员强调,挖矿模块很可能是此恶意软件能够长时间逃避侦测的重要因素。
为了维持在受害计算机上运行,StripedFly针对Windows、Linux操作系统,采取专属的措施。
在Windows计算机上,该恶意程序会根据得到的权限,试图通过PowerShell脚本创建工作调度,或是篡改注册表来达到目的;而在Linux计算机其中,恶意程序会滥用systemd服务、自动启动的.desktop文件,或是其他能变动个人设置或是计算机开机组态的文件,来维持于受害计算机运行。 兄嘚,辛苦了!一个人发这么多帖子!
页:
[1]