StripedFly
StripedFlyはマルウェアです。
発見された当初は単に暗号資産マイナーであると認識されていました。
しかし、その後の調査で単なるマイナーにとどまらない、大きな仕組みの一部であることがわかってきました。
- 多段感染
こっそりと感染を広げることのできる構造になっていて、感染手順は多段階になっています。
感染は、EternalBlueに非常によく似たSMBv1エクスプロイトから始まります。
それが動作すると、カーネルシェルコードが取得され、カーネルで実行されます。
そして、ユーザ空間のプロセスにシェルコードを挿入し、ペイロードが持ってこられます。 - ペイロード置き場
ペイロードは感染手順の中で被害環境に持ち込まれます。
その置き場所は、GitHubなどのサービスのリポジトリです。 - 永続化
感染環境で獲得できている権限などの条件で様々な形式をとりますが、このマルウェアは永続化機構を含みます。
管理者権限があってもなくても永続化込みで感染します。 - モジュール構造
このマルウェアはモジュール構造になっています。
大まかにいうと、サービスモジュールと機能モジュールに分類されます。 - サービスモジュール
マルウェアの機能モジュールを保持するストレージ管理機構、サービスモジュールの更新機能とアンインストール機能、リモート接続を実現するリバースプロキシ機能を提供します。 - 機能モジュール
こちらは機能毎にモジュールになっています。
ファイルシステム操作や画面保存機能などを含む汎用コマンドハンドラー、定期的にパスワード情報などの資格情報を収集するモジュール、スケジュール機構を操作するモジュール、感染機器のコンピュータ名やMACアドレスや機器上のユーザ名の情報などの各種情報収集を行う偵察用モジュール、ワーム機能モジュール、Moneroマイニングモジュール、などがあります。
どのモジュールも厄介ですが、ワーム機能モジュール、Moneroマイニングモジュールは、特に嫌な仕上がりです。
ワーム機能モジュールは、資格情報収集モジュールの入手結果を使用して動作します。
動作の間隔は、10分から2時間の範囲のランダムな間隔です。
悪用する資格情報がLinuxのものの場合、sshで感染拡大を狙います。
そして、資格情報がWindowsのものの場合、SMBv1で感染拡大します。
Moneroマイニングモジュールはブラウザのchromeのプロセスを装って動作します。
そして、C2との通信にはCloudflareのDNS over HTTPSリクエストが利用されますので、ネットワーク的な監視での自然さを保ちます。
chromeは機器へのCPU処理負荷が大きいことも一般的に認識されていますし、chromeがHTTPSを通信しても、なにも怪しくありません。
StripedFlyは、複雑なモジュラー構造を持つマルウェアです。
マイナー部分は以前から認識されていましたが、全体像としては長い期間認識されることなく活動していたことがわかっています。
これだけの機構を持つマルウェアの場合、もっと大きく金銭収集する事例に発展してもおかしくないように思えますが、活動はこれまでは派手なものになっていません。
こういったひっそりと大きく広がってしまっている脅威というのは、他にもあるのでしょうか。
参考記事(外部リンク):StripedFly: Perennially flying under the radar
securelist.com/stripedfly-perennially-flying-under-the-radar/110903/
