在阅读此文之前，希望用您发财的小手点一下“关注”，文章内容来源于网络但是最后会有小编的个人感悟，如有不足之处可以评论指出，谢谢您的支持。

近日，网络安全研究人员曝光了一个名为StripedFly的跨平台恶意软件，其悄然潜伏了整整五年之久，并在此期间感染了超过100万台Windows和Linux系统。这个恶意软件的复杂性和功能令人担忧，引发了对网络安全的深刻关切。

StripedFly被发现于去年，但据分析师称，它可能自2017年就已开始活动。这个恶意软件表现出高度的复杂性，拥有多种先进功能，包括TOR网络的流量隐藏机制、自动更新、蠕虫式传播、以及对EternalBlue SMBv1漏洞的利用。尽管目前尚不清楚StripedFly的具体用途，它是一种网络犯罪工具还是用于网络间谍活动，但其复杂性表明这是一种高级持续威胁（APT）恶意软件。

该恶意软件首次被发现是通过在合法的Windows操作系统进程WININIT.EXE中注入shellcode的方式。WININIT.EXE是一个用于处理系统初始化的合法进程。该shellcode随后会从合法的托管服务（如Bitbucket、GitHub和GitLab）下载并执行PowerShell脚本等其他文件。恶意软件似乎是通过自定义的EternalBlue SMBv1漏洞利用程序入侵了首批受感染的设备，这个漏洞主要针对互联网上暴露的计算机。StripedFly的最终有效载荷使用了一个自定义的轻量级TOR网络客户端，以保护其通信免受拦截，并能够禁用SMBv1协议，同时使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。此外，该恶意软件的命令和控制服务器位于TOR网络上，与其通信需要频繁发送包含受害者唯一ID的信标信息。

StripedFly的感染链在Windows系统上运行时，根据其权限级别和系统上是否存在PowerShell进行调整。如果未检测到PowerShell，它将在%APPDATA%目录中生成一个隐藏文件。而如果系统中存在PowerShell，它将执行用于创建计划任务或修改Windows注册表键值的脚本。在Linux系统上，恶意软件的名称是"sd-pam"，它使用systemd服务、自动启动.desktop文件或修改各种配置文件和启动文件，以实现持久性。

根据Bitbucket存储库的数据，从2023年4月到2023年9月，已有近60000次系统感染。尽管目前仅有2022年2月以来的数据，但估计StripedFly已经感染了至少22万台Windows系统。然而，根据卡巴斯基的估算，这个恶意软件框架可能感染了超过100万台设备。

StripedFly的恶意软件模块以单一的二进制可执行文件形式存在，并具有可插拔的模块，使其具备了执行多功能操作的能力，这与通常与高级持续威胁（APT）行动相关。其中包括配置存储、升级/卸载、反向代理、杂项命令处理程序、凭证收集器、可重复任务、侦察模块、SSH感染器、SMBv1感染者、以及Monero挖矿模块。这些模块赋予了StripedFly广泛的功能，使其能够进行多种任务，包括监视、窃取数据、远程控制和加密货币挖矿。

卡巴斯基的专家指出，挖矿模块是StripedFly能够长期逃避检测的主要因素之一。尽管Monero加密货币的价值在2018年1月达到了峰值，但其价值从2017年的约10美元上涨到了2023年的150美元左右。因此，挖矿模块仍然具有吸引力，可以帮助攻击者获得利润。

综合来看，StripedFly的出现引发了对网络安全的重大担忧。其高度复杂的设计和功能使其成为一种威胁，同时它的多功能性和挖矿模块使其能够在长期内持续存在而不容易被发现。网络安全领域需要不断努力来识别、防范和清除这类高级威胁，以确保计算机和数据的安全性。同时，用户也需要保持警惕，及时更新操作系统和安全软件，以降低受到恶意软件攻击的风险。网络犯罪活动正在不断演进，而我们也必须积极适应这一现实。