Sadece bir kripto madenci olduğu düşünülen kötü amaçlı yazılım aslında hem Windows hem de Linux sistemleri için gelişmiş bir casusluk platformuydu; şimdiden 1 milyondan fazla kurbana bulaştı.
StripedFly, 2017’de ilk kez tespit edildiğinde kripto madenciliği için büyük ölçüde etkisiz bir kötü amaçlı yazılım olarak sınıflandırıldı ve geniş çapta reddedildi. Ancak o zamandan bu yana, aslında saldırganların ağlarda kalıcılık elde etmesine ve ağlarda kapsamlı görünürlük elde etmesine olanak tanıyan karmaşık bir modüler kötü amaçlı yazılım parçası olarak çalışıyor. Kaspersky araştırmacıları, 26 Ekim’de yayınlanan bir blog gönderisinde, etkinliklerinin yanı sıra kimlik bilgilerini ve diğer verileri istedikleri zaman sızdırdıklarını açıkladı.
StripedFly gerçekten de Monero kripto para birimi madenciliği yapabiliyor olsa da, bu yetenekleri açısından buzdağının sadece görünen kısmı; araştırmacıların geçen yıl keşfettiği ve bulgularını kamuya yayınlamadan önce iyice araştırdığı bir şey.
Kaspersky araştırmacıları Sergey Belov, Vilen Kamalov ve Sergey Lozhkin gönderide şunları yazdı: “Keşfettiğimiz şey tamamen beklenmedikti; kripto para madencisi çok daha büyük bir varlığın yalnızca bir bileşeniydi.”
Genel olarak platform, GitLab, GitHub gibi güvenilir hizmetler aracılığıyla güncelleme ve dağıtım işlevselliğinin yanı sıra komut ve kontrol (C2) sunucularıyla iletişim için yerleşik bir Tor ağ tüneli içeren “APT kötü amaçlı yazılımının ayırt edici özelliği” gibi görünüyor. ve Bitbucket’in hepsinin özel şifreli arşivler kullandığını ortaya çıkardılar.
Dahası, araştırmacıların kötü amaçlı yazılımla ilişkili bir Bitbucket deposundan elde ettiği ve 21 Haziran 2018’de Julie Heilman adını kullanan birinin hesabı altında oluşturduğu güncellemelere göre, StripedFly’ın halihazırda 1 milyondan fazla sisteme bulaştığı görülüyor.
Araştırmacılar, StripedFly’ın genişliğinin keşfinin “şaşırtıcı” olduğunu, özellikle de yaklaşık altı yıldır tespit edilmekten başarıyla kurtulduğunu söyledi.
StripedFly’ı Parçalamak
Kötü amaçlı yazılımın temel yapısı, saldırganların işlevselliğini genişletebilmesi veya güncelleyebilmesi için çeşitli takılabilir modülleri destekleyen monolitik bir ikili yürütülebilir koddur. Bir hizmet veya genişletilmiş işlevsellik sağlamak için mevcut olan her modül — C2 sunucusuyla iletişim için kendi geri arama işlevinin uygulanmasından ve yönetilmesinden sorumludur.
Platform ilk olarak kendisini bir ağda, ilk giriş mekanizması olarak, Nisan 2017’de sızdırılan ve yama yapılmamış Windows’u tehdit etmeye devam eden EternalBlue’nun özel bir sürümü gibi görünen bir sunucu mesaj bloğu (SMB) istismarını kullanan bir PowerShell olarak gösteriyor. sunucular.
StripedFly, PowerShell yorumlayıcısının kullanılabilirliğine ve sürece verilen ayrıcalıklara bağlı olarak kalıcılık için çeşitli yöntemler kullanır. Araştırmacılar, “Genellikle kötü amaçlı yazılım, istismar aracılığıyla yüklendiğinde yönetici ayrıcalıklarıyla, Cygwin SSH sunucusu aracılığıyla teslim edildiğinde ise kullanıcı düzeyinde ayrıcalıklarla çalışıyor” diye yazdı.
Modülleri açısından, kötü amaçlı yazılımın, işlevselliğiyle ilgili belirli hizmetleri gerçekleştirecek üç ve bu işlevselliği gerçekten yürüten altısı vardır. Hizmet modülleri, yapılandırma depolaması, kötü amaçlı yazılımın yükseltilmesi ve kaldırılması ve ters proxy içindir.
İşlevsellik modülleri, saldırganlara bir yetenek listesi sunacak ve kurbanın ağının faaliyetlerini sürekli olarak gözetlemelerine olanak sağlayacak şekilde çeşitli ve kapsamlıdır. Yukarıda bahsedilen Monero kripto madenciliğine ek olarak modüller şunlardır: çeşitli komut işleyici; kimlik bilgisi toplayıcı, ekran görüntüleri alabilen, mikrofon girişini kaydedebilen ve diğer görevleri planlı bir şekilde gerçekleştirebilen tekrarlanabilir görevler; kapsamlı sistem bilgilerini derleyen bir keşif modülü; Sızma ve solucan oluşturma yetenekleri için SMBv1 ve SSH bulaştırıcıları.
Araştırmacılar ayrıca ThunderCrypt adında, aynı temel kod tabanını paylaşan ve StripedFly ile aynı C2 sunucusuyla iletişim kuran ilgili bir fidye yazılımı çeşidi de keşfettiler.
Çözülmemiş gizemler
Blog gönderisi, kuruluşların virüs bulaşıp bulaşmadığını belirlemelerine yardımcı olmak için çeşitli tehlike göstergeleri ve diğer web siteleri ile StripedFly ile ilgili ilgili verileri içeriyor.
Bu arada, faillerinin gerçek amacı da dahil olmak üzere, StripedFly’ın etrafında hâlâ çok sayıda soru dolaşmaktadır; bu soru, ilgili fidye yazılımı bileşeninin varlığıyla daha da karmaşık hale gelmektedir.
Araştırmacılar, “ThunderCrypt fidye yazılımı, yazarları için ticari bir amaç öne sürerken, bunun yerine neden potansiyel olarak daha kazançlı yolu seçmedikleri sorusunu gündeme getiriyor” diye yazdı.
StripedFly’ın hala aktif olup olmadığı da hala belirsiz çünkü bu yazının yazıldığı sırada araştırmacılar Bitbucket deposunda Windows sistemleri için yalnızca sekiz, Linux sistemleri için ise dört güncelleme gözlemledi. Uzmanlar, bunun “minimum düzeyde aktif enfeksiyon bulunduğunu” veya StripedFly’ın halihazırda enfekte olduğu tüm kurbanların hala C2 ile aktif olarak iletişim kurduğunu gösterebileceğini belirtti.
Araştırmacılar, “Yalnızca bu esrarengiz kötü amaçlı yazılımı yaratanların bu sorunun cevabını bildiğini” kabul etti. “Aksi yöndeki tüm kanıtlar göz önüne alındığında, bu kadar karmaşık ve profesyonelce tasarlanmış bir kötü amaçlı yazılımın bu kadar önemsiz bir amaca hizmet edeceği fikrini kabul etmek zor.”