信息来源:StripedFly: Perennially flying under the radar | Securelist (2023年10月26日)
一、事件概述:一场持续六年的“数字幽灵”行动
2022年,卡巴斯基安全研究人员在分析一台受感染Windows主机时,意外发现wininit.exe系统进程中运行着一段异常的shellcode。这一微小线索,揭开了一场长达六年的全球性网络攻击行动——代号“条纹飞马”(StripedFly)。
最令人震惊的是,这款恶意软件长期被误判为“普通挖矿程序”,实则是一个功能完备、高度模块化的跨平台APT级攻击框架。它不仅支持Windows与Linux双平台,还内置了自研的轻量级TOR客户端,通过.onion地址与C2服务器通信,彻底规避传统网络监控。
更可怕的是,其攻击链中包含一个早于“影子经纪人”公开版本的EternalBlue漏洞利用模块。根据二进制时间戳推断,该模块的编译时间可追溯至2016年4月,比NSA漏洞被公开早了整整一年。这意味着,“条纹飞马”的开发者极可能拥有与“方程式组织”(Equation Group)同等级别的漏洞储备能力。
二、攻击路径:从SMB漏洞到TOR隧道的全栈渗透
1. 初始入口:利用EternalBlue漏洞横向传播
“条纹飞马”的主要传播方式是蠕虫式内网扩散:
在Windows环境中,利用自研的SMBv1漏洞利用程序(与EternalBlue高度相似)实现无交互式入侵;
在Linux环境中,通过SSH协议,利用受害者主机上已有的SSH密钥进行自动登录与部署;
攻击者还特别排除了美国军方(DoD)、亚马逊AWS等特定IP段,疑似为规避高安全环境或避免引发大规模警报。
一旦成功入侵,攻击者会立即禁用SMBv1协议,防止其他恶意软件(如WannaCry)二次感染,确保对系统的独占控制。
2. 漏洞利用:早于公开版本的EternalBlue
卡巴斯基通过PE文件时间戳确认,该恶意软件中包含的EternalBlue模块最早可追溯至2016年4月9日,而“影子经纪人”(Shadow Brokers)直到2017年4月才公开此漏洞。这一时间差表明:
攻击者可能通过内部渠道提前获取了NSA的网络武器;
或具备独立发现该漏洞的能力;
其技术背景与“方程式组织”存在潜在关联。
这一发现将“条纹飞马”从“高级犯罪软件”直接提升至“国家级APT工具”的范畴。
3. 感染链演进:从内存注入到持久化驻留
攻击成功后,执行以下步骤:
内核层注入:通过漏洞将shellcode注入用户态,加载主框架;
下载主载荷:从Bitbucket等合法代码托管平台下载名为
system.img的加密归档文件;内存解密执行:解密后直接在内存中运行,避免磁盘写入;
建立持久化:根据权限和环境,采用注册表、计划任务、systemd服务等多种方式确保重启后仍可运行;
连接C2:启动内置TOR客户端,连接位于暗网的
.onion地址,开始接收指令。
整个过程高度自动化,且具备反分析、反沙箱能力。
三、核心组件:模块化攻击框架深度解析
“条纹飞马”采用插件式架构,核心框架可动态加载多个功能模块,实现灵活扩展。
1. 主框架与持久化机制
其持久化代码高度适配不同环境,体现出极强的工程化设计能力。
2. Bitbucket供应链:伪装成固件更新
攻击者创建了一个名为“Julie Heilman”的Bitbucket账号(https://bitbucket.org/JulieHeilman/m100-firmware-mirror/),将恶意载荷伪装成“m100设备固件”:
system.img:Windows初始感染载荷;delta.img:Linux初始感染载荷;ota.img:Windows更新包;delta.dat/ota.dat:版本检测文件。
截至2022年6月,system.img的下载量已达16万次,意味着至少有16万台设备曾被初步感染。
3. 自研TOR客户端:隐藏C2于暗网
C2服务器地址为:
gpiekd65jgshwp2p53igifv43aug2adacdebmuuri34hduvijr5pfjad.onion:1111恶意软件内置自研轻量级TOR客户端,非基于开源代码;
不支持中继、出口节点等复杂功能,仅实现基础通信;
定期发送心跳包,每分钟一次,极难通过流量分析识别。
此举极大提升了攻击者的匿名性与基础设施生存能力。
4. 功能模块矩阵
其中,挖矿模块被用作“伪装层”,使安全产品误判其为低危威胁,从而长期潜伏。
四、攻击目标与归因分析
✅ 受害者画像:
地理位置:全球分布,但避开美国军方、大型云服务商IP;
行业分布:未明确指向特定行业,更像广泛撒网式渗透;
系统环境:主要针对未打补丁的Windows 7/10、Linux服务器及Cygwin环境。
🔍 攻击动机推测:
动机高度模糊,存在多重可能性:
国家级情报收集:具备EternalBlue早期版本、自研TOR客户端,技术能力远超普通犯罪团伙;
经济利益驱动:内置Monero挖矿模块,可产生持续收益;
基础设施储备:构建大规模代理网络,供后续攻击使用。
其“挖矿为表、间谍为里”的双重特性,暗示其背后可能是一个兼具国家背景与经济诉求的复合型组织。
🔎 归因线索:
技术风格相似:代码风格、模块设计与“方程式组织”(Equation Group)部分工具高度相似;
IoC重叠:与另一款名为ThunderCrypt的勒索软件共享同一C2服务器(
ghtyqipha6mcwxiz.onion);开发时间超前:EternalBlue模块早于公开版本一年,表明其拥有独立漏洞挖掘或内部情报渠道;
命名习惯:使用“m100”等神秘代号,与NSA武器命名风格一致。
尽管尚无直接证据,但综合判断,该组织极可能与国家级网络战部队存在关联。
五、技术演进与战术升级
“条纹飞马”代表了恶意软件发展的几个里程碑式突破:
跨平台一体化攻击框架
同一主框架支持Windows/Linux,实现统一管理,大幅提升攻击效率。自研通信协议规避检测
不依赖公共TOR客户端,避免被特征识别,体现“定制化基础设施”思维。供应链+暗网双重投递
利用Bitbucket等可信平台分发初始载荷,C2藏于TOR网络,形成“明暗结合”的攻击体系。功能模块化与可扩展性
支持动态加载新模块,可根据任务需求灵活配置,接近“操作系统级”恶意软件。主动防御干扰
入侵后立即禁用SMBv1,防止其他攻击者“抢地盘”,确保控制权唯一性。
六、防御建议
✅ 企业应采取的措施:
✅ 个人用户建议:
及时安装系统补丁,尤其是MS17-010;
不随意使用公共SSH密钥登录服务器;
警惕CPU占用异常升高的“Chrome”进程;
定期检查计划任务与启动项。
七、趋势洞察
“条纹飞马”的曝光揭示了当前网络威胁的几大深层趋势:
APT与犯罪软件界限模糊:国家级技术被用于挖矿、勒索等经济活动,形成“军民两用”威胁;
长期潜伏成为常态:攻击者不再追求快速变现,而是构建可持续利用的“数字资产”;
基础设施自主化:自研TOR客户端、定制C2协议,表明攻击者正摆脱对公共工具的依赖;
反溯源设计精细化:排除军方IP、禁用SMBv1、使用可信平台分发,处处体现“低可检测性”原则;
威胁情报滞后性凸显:一款存在六年的超级木马,竟长期被误判为普通挖矿程序。
这提醒我们:今天的顶级威胁,往往披着最普通的外衣。
八、结语
“条纹飞马”不是一次简单的漏洞利用,而是一场精心策划的数字生态入侵。它告诉我们,在看不见的角落,可能早已存在一个由数十万台设备组成的隐形网络,正默默为某个未知的幕后黑手服务。
卡巴斯基的这次发现,不仅是一次技术胜利,更是一记警钟:我们对“高级威胁”的认知,可能还停留在过去。面对如此复杂、隐蔽、持久的对手,唯有构建全栈可视、主动狩猎、智能响应的安全体系,才能在这场不对称的战争中,守住最后一道防线。