StripedFly恶意软件框架感染了100万台Windows和Linux主机

图片

导语


近日,一款名为StripedFly的恶意软件框架在网络安全研究人员的监视之外悄然感染了超过100万台Windows和Linux系统。这款跨平台的恶意软件平台在过去的五年中一直未被察觉。在去年,卡巴斯基实验室发现了这个恶意框架的真实本质,并发现其活动始于2017年。尽管一开始被错误地归类为仅仅是一种门罗币挖矿软件,但分析人员认为StripedFly非常令人印象深刻,具备复杂的TOR基于流量隐藏机制、来自可信平台的自动更新、类似蠕虫的传播能力以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞利用。

StripedFly恶意软件的威胁


StripedFly恶意软件的真实目的尚不清楚,是为了牟利还是为了进行网络间谍活动。然而,卡巴斯基实验室表示,StripedFly的复杂性表明这是一种高级持续性威胁(APT)恶意软件。根据恶意软件的编译时间戳,StripedFly最早的已知版本具备EternalBlue漏洞利用的功能可以追溯到2016年4月,而Shadow Brokers组织的公开泄露发生在2016年8月。StripedFly恶意软件框架最早是通过在合法的Windows操作系统进程WININIT.EXE中注入Shellcode来发现的。经过调查注入的代码,研究人员发现它会从像Bitbucket、GitHub和GitLab这样的合法托管服务下载和执行其他文件,如PowerShell脚本。进一步的调查显示,被感染的设备很可能是通过针对互联网暴露的计算机使用自定义的EternalBlue SMBv1漏洞利用进行入侵的。

图片

StripedFly的传播方式


StripedFly恶意软件的最终载荷(system.img)具备轻量级自定义TOR网络客户端,以保护其网络通信免受拦截,同时具备禁用SMBv1协议的能力,并利用SSH和EternalBlue在网络上传播到其他Windows和Linux设备。该恶意软件的命令与控制(C2)服务器位于TOR网络上,与其通信涉及频繁的信标消息,其中包含受害者的唯一ID。

StripedFly的独特特征


为了在Windows系统上实现持久性,StripedFly根据其运行的特权级别和PowerShell的存在调整其行为。如果没有PowerShell,它会在%APPDATA%目录中生成一个隐藏文件。如果有PowerShell,它会执行创建计划任务或修改Windows注册表键的脚本。在Linux上,该恶意软件以’sd-pam’的名字出现。它通过systemd服务、自动启动的.desktop文件或修改各种配置文件和启动文件(例如/etc/rc*、profile、bashrc或inittab文件)来实现持久性。

图片

总结


根据卡巴斯基实验室的估计,StripedFly恶意软件框架已感染超过100万台设备。这款恶意软件作为一个单体二进制可执行文件,具备可插拔模块,使其具备常与APT操作相关的操作灵活性。除了门罗币挖矿模块外,StripedFly还具备其他模块,使得威胁行为更加多样化,包括数据窃取和系统利用。卡巴斯基实验室强调,门罗币挖矿模块是StripedFly能够长期逃避检测的主要因素。此外,研究人员还发现了与勒索软件变种ThunderCrypt的联系,后者利用相同的C2服务器“ghtyqipha6mcwxiz[.]onion:1111”。StripedFly的“可重复任务模块”还暗示了攻击者可能对某些受害者的收入产生兴趣。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/122111.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SpringDoc上传附件或文件 - Swagger3

摘要 从Swagger2 升级到 Swagger3 之后发现对于附件出现了问题。 依赖 <dependency><groupId>org.springdoc</groupId><artifactId>springdoc-openapi-ui</artifactId><version>1.7.0</version></dependency>问题描述 在Sw…

基于51单片机的四种波形信号发生器仿真设计(仿真+程序源码+设计说明书+讲解视频)

本设计 基于51单片机信号发生器仿真设计 &#xff08;仿真程序源码设计说明书讲解视频&#xff09; 仿真原版本&#xff1a;proteus 7.8 程序编译器&#xff1a;keil 4/keil 5 编程语言&#xff1a;C语言 设计编号&#xff1a;S0015 这里写目录标题 基于51单片机信号发生…

CentOS 7

导入已有虚拟机 设置SSH免密登录 参考Ubuntu- 远程连接虚拟机&#xff08;桥连接&#xff09; 宿主机&#xff1a;Win10虚拟机&#xff1a;VMware保证宿主机和主机在同一个网段下&#xff08;宿主机和主机通过手机热点连接&#xff0c;在特定网段内&#xff0c;不能更改&#…

父子项目打包发布至私仓库

父子项目打包发布至私仓库 1、方法一 在不需要发布至私仓的模块上添加如下代码&#xff1a; <plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-deploy-plugin</artifactId><configuration><skip>true</s…

Golang中的New和Make:内存分配与初始化的区别

摘要&#xff1a;本文将深入探讨Golang中的New和Make函数在内存分配和初始化方面的区别。我们将通过理论阐述和示例代码来解释这两个函数的作用&#xff0c;并帮助读者更好地理解它们在实际编程中的应用。 一、引言 在Golang中&#xff0c;New和Make是用于内存分配和初始化的…

Ubuntu下使用Docker的简单命令

1&#xff1a;要在Ubuntu下使用Docker首先需要提权&#xff0c;Ubuntu下root是没有密码的。注意前导符的变化$是普通用户&#xff0c;#是管理员。 sudo -i2&#xff1a;运行一个容器。-d是后台运行&#xff0c;-p是把http的端口号由80变成8080。 docker run -d -p 8080:80 ht…

详细介绍如何使用 NeRF 进行 3D 体积渲染-附源码下载

介绍 在此示例中,我们展示了 Ben Mildenhall 等人的研究论文 NeRF:将场景表示为用于视图合成的神经辐射场的最小实现 。等人。作者提出了一种巧妙的方法,通过神经网络对体积场景函数进行建模来合成场景的新颖视图。 为了帮助您直观地理解这一点,让我们从以下问题开始: 是…

Unity中从3D模型资产中批量提取材质

如何使用 只需在“项目”窗口中创建一个名为“编辑器”的文件夹&#xff0c;然后在其中添加此脚本即可。然后&#xff0c;打开Window-Batch Extract Materials&#xff0c;配置参数并点击“ Extract&#xff01; ”。 在Unity 2019.1上&#xff0c;可以将默认材质重映射条件配…

Mac电脑窗口管理Magnet中文 for mac

Magnet是一款Mac窗口管理工具&#xff0c;它可以帮助用户轻松管理打开的窗口&#xff0c;提高多任务处理效率。以下是Magnet的一些主要特点和功能&#xff1a; 分屏模式支持&#xff1a;Magnet支持多种分屏模式&#xff0c;包括左/右/顶部/底部 1/2 分屏、左/中/右 1/3 分屏、…

软考 系统架构设计师系列知识点之设计模式(9)

接前一篇文章&#xff1a;软考 系统架构设计师系列知识点之设计模式&#xff08;8&#xff09; 所属章节&#xff1a; 老版&#xff08;第一版&#xff09;教材 第7章. 设计模式 第2节. 设计模式实例 相关试题 7. 一组对象以定义良好但是复杂的方式进行通信&#xff0c;产生…

独立开发者知识贴

有一个github仓库&#xff0c;叫做独立开发变现周刊&#xff0c;很不错&#xff0c;作者能从21年能坚持更新到现在&#xff0c;我很佩服。 它里边有很多独立开发者成功的作品案例&#xff0c;我对这些很感兴趣。 在阅读时&#xff0c;我会问自己以下几个问题&#xff1a; 解…

一些k8s集群操作命令

参考&#xff1a; 【K8S系列】Pod重启策略及重启可能原因_k8s查看pod重启原因-CSDN博客 #查看加入集群命令 kubeadm token create --print-join-command #kubeadm重置k8s kubeadm reset -f ipvsadm --clear systemctl stop kubelet rm -rf /etc/kubernetes/* reboot …

计算机网络【CN】TCP报文段格式【20B】

序号&#xff1a;本报文段所发送的数据的第一个字节的序号确认号&#xff1a;期望收到对方下一个报文段的第一个数据字节的序号。 重要控制位&#xff1a; 紧急位URG&#xff1a;URG1时&#xff0c;标明此报文段中有紧急数据&#xff0c;是高优先级的数据&#xff0c;应尽快传送…

Android 安卓Kotlin-协程

当谈到现代异步编程时&#xff0c;Kotlin协程&#xff08;Kotlin Coroutines&#xff09;是一个备受欢迎的工具。它提供了一种更具可读性和可维护性的方式来处理异步任务&#xff0c;而无需陷入回调地狱。本篇博客将深入探讨Kotlin协程&#xff0c;涵盖其基本概念、用法、特性以…

【斗罗二】霍雨浩迷惑审查,戴华斌故意挑衅,惨败者屈服下跪

【侵权联系删除】【文/郑尔巴金】 深度爆料&#xff0c;自《绝世唐门》宣布问世以来&#xff0c;其在国漫圈引发的关注和热议便如火如荼。作为《斗罗大陆》的续作&#xff0c;这部作品无疑继承了前作的荣光&#xff0c;甚至被无数粉丝期待着能再创辉煌。在各大社交媒体和国漫论…

【鸿蒙软件开发】ArkTS基础组件之TextTimer(文本显示计时)、TimePicker(时间选择)

文章目录 前言一、TextTimer1.1 子组件1.2 接口参数TextTimerController 1.3 属性1.4 事件1.5 示例代码 二、TimePicker2.1 子组件2.2 接口参数 2.3 属性2.4 事件TimePickerResult对象说明 2.5 示例代码 总结 前言 通过文本显示计时信息并控制其计时器状态的组件。 时间选择组…

基于单片机的IC卡门禁系统设计

收藏和点赞&#xff0c;您的关注是我创作的动力 文章目录 概要 一、主要研究内容及总体设计方案1.1 系统方案设计1.2系统工作原理 二、硬件设计2.1 主控电路 三、软件设计3.2主程序设计实物附录1 原理图附录2 源程序清单 四、 结论五、 文章目录 概要 本论文重点通过对射频技术…

二、PHP函数

一、PHP函数 1.基本函数 创建数组&#xff1a;array(1,2,3)数字或数字字符串检测&#xff1a;is_numeric检测变量是否为数字或数字字符串 $input array(2,2,3); echo is_numeric($input[0]);// 注意16进制的内容 如何0x12&#xff0c;is_numeric返回false&#xff0c;即不认…

『Jmeter入门万字长文』 | 从环境搭建、脚本设计、执行步骤到生成监控报告完整过程

『Jmeter入门万字长文』 | 从环境搭建、脚本设计、执行步骤到生成监控报告完整过程 1 Jmeter安装1.1 下载安装1.2 Jmeter汉化1.2.1 临时修改1.2.2 永久修改 1.3 验证环境 2 测试对象2.1 测试对象说明2.2 测试对象安装2.2.1 下载安装2.2.2 启动测试对象服务2.2.3 访问测试对象2.…

QA新人入职任务

一、背景 分享记录一下入职新公司后&#xff0c;新人第一周接到的新手任务&#xff0c;回顾总结&#xff0c;方便自己成长和思考~ 二、新人任务说明 题目1&#xff1a;接口相关 题目2&#xff1a;UI相关 UI原型图 三、任务要求 1、根据题目2原型图&#xff0c;进行UI测试…