当前位置：首页 > news >正文

StripedFly恶意软件：悄无声息运行5年，感染百万设备

news 2025/12/12 10:57:13

导语：最近，俄罗斯网络安全公司Kaspersky发布的一项调查显示，一种名为StripedFly的高级恶意软件伪装成加密货币挖矿程序，悄无声息地在全球范围内运行了超过5年，感染了100万台设备。这是一种复杂的模块化框架，支持Linux和Windows系统。本文将为大家揭示这个隐藏了5年的恶意软件的内幕。

恶意软件悄然运行5年

这款名为StripedFly的恶意软件自2016年4月起就开始运行，并在未被察觉的情况下持续了5年之久。根据Kaspersky的研究，StripedFly是一个复杂的模块化框架，支持Linux和Windows系统。该公司在2017年首次发现了这个威胁，并将其命名为StripedFly。令人震惊的是，这个恶意软件能够悄然运行如此之久，感染了100万台设备。

恶意软件的传播途径

StripedFly恶意软件利用了一个名为EternalBlue SMBv1的漏洞，该漏洞最初被归属于方程式组织（Equation Group）。通过利用这个漏洞，恶意软件可以渗透到公开可访问的系统中。恶意软件通过漏洞传递恶意shellcode，该shellcode可以从远程Bitbucket仓库下载二进制文件，并执行PowerShell脚本。此外，恶意软件还支持一系列插件式的可扩展功能，用于收集敏感数据甚至自行卸载。

恶意软件的功能和特点

StripedFly恶意软件的shellcode被注入到wininit.exe进程中，这是一个合法的Windows进程，由引导管理器（BOOTMGR）启动，并处理各种服务的初始化。安全研究人员Sergey Belov、Vilen Kamalov和Sergey Lozhkin在最近发布的技术报告中指出：“恶意软件本身的有效负载结构是一个单体的二进制可执行代码，旨在支持可插拔模块以扩展或更新其功能。”该恶意软件还配备了一个内置的TOR网络隧道，用于与命令服务器进行通信，并通过GitLab、GitHub和Bitbucket等受信任的服务进行更新和交付。

此外，恶意软件还具有其他引人注目的间谍模块，可以每两个小时收集凭据、在受害者设备上捕获屏幕截图、记录麦克风输入，并启动反向代理以执行远程操作。一旦成功入侵，恶意软件将在受感染主机上禁用SMBv1协议，并通过SMB和SSH使用从被黑系统中获取的密钥，通过蠕虫模块将恶意软件传播到其他机器。在Windows系统上，恶意软件通过修改Windows注册表或创建任务计划程序项来实现持久性；在Linux系统上，它通过systemd用户服务、自动启动的.desktop文件或修改/etc/rc*、profile、bashrc或inittab文件来实现持久性。

此外，恶意软件还会下载一个Monero加密货币挖矿程序，利用DNS over HTTPS（DoH）请求解析池服务器，以增加恶意活动的隐蔽性。研究表明，这个挖矿程序被用作干扰行为，以防止安全软件发现恶意软件的全部能力。

总结

StripedFly恶意软件的悄然运行5年，感染了100万台设备，引发了广泛的关注。这款恶意软件利用复杂的模块化框架，支持Linux和Windows系统，通过利用EternalBlue漏洞传播。它具有多种功能和特点，包括下载二进制文件、执行PowerShell脚本、收集敏感数据等。恶意软件的真正目的尚不得而知，但其高度复杂性和与方程式组织的相似之处表明，它可能是一种高级持续性威胁（APT）行为。我们需要保持警惕，及时更新补丁和安全软件，以保护我们的设备免受此类恶意软件的侵害。

StripedFly恶意软件：悄无声息运行5年，感染百万设备

恶意软件悄然运行5年

恶意软件的传播途径

恶意软件的功能和特点

总结

相关文章：

StripedFly恶意软件：悄无声息运行5年，感染百万设备

Flink SQL DataGen Connector 示例

【监控指标】监控系统-prometheus、grafana。容器化部署。go语言 gin框架、gRPC框架的集成

时序分解 | Matlab实现PSO-VMD粒子群算法优化变分模态分解时间序列信号分解

leetcode 684. 冗余连接

yolov8模型训练、目标跟踪

Flink SQL Regular Join 、Interval Join、Temporal Join、Lookup Join 详解

如何在搜索引擎中应用AI大语言模型，提高企业生产力？

实验七组合器模式的应用

Springboot实现人脸识别与WebSocket长连接的实现

智能安全帽功能-EIS智能防抖摄像头4G定位视频语音气体检测

TEMU跨境平台珠宝首饰RSL报告如何办理？

51单片机的篮球计分器液晶LCD1602显示( proteus仿真+程序+原理图+PCB+设计报告+讲解视频）

【NI-DAQmx入门】NI-DAQmx之Python

YoloV8目标检测与实例分割——目标检测onnx模型推理

pcigo图床插件的简单开发

Find My手机保护壳|苹果Find My与手机保护壳结合，智能防丢，全球定位

encode和decode的区别

建设项目管理中的 5 大预算挑战

vue2 集成 - 超图-SuperMap iClient3D for WebGL

浅谈 React Hooks

基于距离变化能量开销动态调整的WSN低功耗拓扑控制开销算法matlab仿真

深入理解JavaScript设计模式之单例模式

mysql已经安装，但是通过rpm -q 没有找mysql相关的已安装包

基于Java+MySQL实现（GUI）客户管理系统

GitFlow 工作模式（详解）

数据结构：递归的种类（Types of Recursion）

Neko虚拟浏览器远程协作方案：Docker+内网穿透技术部署实践

动态规划-1035.不相交的线-力扣(LeetCode)

Cursor AI 账号纯净度维护与高效注册指南