1
正月十五一過,新年就算過去了。
誰又能想到豬年開年大戲居然是大型吃瓜現場呢?演員翟天臨以“知網是什么”為開端引爆自己,至此被扒出公開論文抄襲,復制比53%,甚至碩士論文也被扒出抄了陳坤的本科論文。
2月19日,圍觀群眾等到了大戲終章,北京電影學院官方微博發布說明稱,撤銷翟天臨博士學位,取消陳浥博導資格。二人對此均表示接受。
有趣的是,雷鋒網編輯發現這個瓜在安全圈也吃的津津有味,朋友圈某位白帽子就吐槽翟天臨時候說道,這人頭發比我多,長得比我帥,但論文寫得一定沒我好。
究其原因一方面是與這群“又禿又強”的碩博群體有真實共鳴,另一方便是“抄襲”這事在安全圈也不新鮮。很多新病毒都在功能、攻擊手法上借鑒知名病毒,此類“抄襲”可謂多如牛毛。相比學術圈簡單粗暴的“復制粘貼”式抄襲,安全圈要復雜得多。
黑吃黑式抄襲
抄別人的病毒不算什么,抄了還能干掉原病毒就有點厲害了。比如,最近亞信安全偵測到一個會從某網域下載二進制文件的新病毒腳本。
【偵測到會從某網域下載檔案的新腳本】
經過調查發現,這一腳本與2018年11月所搜集到的某個 KORKERDS 樣本代碼幾乎完全相同,只是新增及刪除的少數部分。與KORKERDS相比,這個新發現的腳本并不會移除系統上已安裝的安全產品,也不會在系統上安裝Rootkit,反而會將 KORKERDS 惡意挖礦程序和 Rootkit 組件清除。
這就很牛掰了,在線上演黑吃黑。
除此之外,該腳本抄襲了Xbash的功能和KORKERDS惡意程序,還會安裝一個挖礦惡意程序,也會將自己植入系統并在crontab當中設定排程以便在重啟后繼續執行,并且防止遭到刪除,此外也將一些記錄文件內容清除為0。
當然,這個腳本并非第一個會清除系統上其他惡意程序的惡意程序,之前的案例卻沒有如此大量清除Linux惡意程序。對于網絡犯罪集團來說,清除其他競爭對手的惡意程序只是提高其獲利的手段之一。
另一種好用省事的“抄襲”法是病毒變種。
2017年5月,WannaCry 勒索病毒席卷全球。惡意代碼掃描開放 445 文件共享端口的 Windows 機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。受害者電腦會被黑客鎖定,提示支付價值相當于 300 美元(約合人民幣 2069 元)的比特幣才可解鎖。
至此拉開了一場轟轟烈烈的攻防對抗戰。一邊是安全廠商推出各種防御殺毒方案,一方面是黑客們搞出的一波又一波變種,“WannaCry 2.0”、“WannaSister”(想妹妹)等等。
甚至事情過去一個月以后,熱門手游《王者榮耀》的外掛竟也被瞄上。
雷鋒網曾在《打個“農藥”就可能被勒索 20 塊,究竟怎么回事?》一文中描寫過,也許對“永恒之藍”帶來的邪惡影響帶著極其黑暗的崇拜,這款勒索軟件的作者把勒索敲詐頁面做成了高仿電腦版的“永恒之藍”勒索病毒。軟件運行后,安卓手機用戶的桌面壁紙、軟件名稱和圖標會被篡改。手機中的照片、下載、云盤等目錄下的文件進行加密,并向用戶勒索贖金,金額在 20 元、40 元不等。并且宣稱 3 天不交贖金,價格將翻倍,7 天不交,將刪除所有加密文件。
而這款高防“永恒之藍”也有很多變種,通過生成器選擇不同的配置信息,可以在加密算法、密鑰生成算法上進行隨機的變化,甚至可以選擇對生成的病毒樣本進行加固混淆。
更有意思的是,病毒傳播采用了“收徒”制。
1、 病毒作者制作病毒生成器自己使用或授權他人使用;
2、 通過 QQ 群、QQ 空間、或是上傳教學視頻傳播制作教程;
3、 作者徒弟修改病毒生成器,自己使用或是授權他人使用。
仿佛看了一窩傳銷組織……
目前主流的兩個勒索病毒家族是GlobeImposter家族和Crysis家族。這兩個家族幾乎每隔一段時間就會出現新后綴變種。而另一個后來居上的勒索病毒家族是2018年1月首次被發現的GandCrab勒索病毒,其短短數月便歷經3個版本的更迭,迅速發展成為2018年第三大流行勒索病毒家族。
當然。其他勒索病毒家族也沒少閑著,這里列舉了近年部分勒索病毒變種:
Shifr勒索病毒變種CryptWalker
2018年2月20日,Shifr勒索病毒變種 Cypher 被曝加密文件后,會將文件后綴修改為“. cypher”。根據提示,會向用戶勒索1個比特幣。
Xiaoba勒索病毒變種
Xiaoba勒索病毒變種玩起了二次元風,加密文件后將后綴改為.病名は愛です[BaYuCheng@yeah.net].xiaoba,并在桌面背景顯示一段恐嚇性日文,大意是說看到這段文字的用戶將面臨“死亡”。此外彈出200秒倒計時窗口,要求用戶在規定時間內輸入密碼,否則將被刪除所有文件。
Scarab勒索病毒變種
通常,Scarab勒索病毒是利用Necurs僵尸網絡進行傳播的,Necurs是世界上最大的僵尸網絡之一,曾用于傳播多個惡意家族樣本。2018年8月,Scarab 勒索病毒出現最新變種,該變種文件加密后綴為.hitler,會通過RDP爆破+人工、捆綁軟件的方式進行傳播。
Satan勒索病毒新變種
作為2018年最為活躍的勒索病毒之一,撒旦(Satan)利用多種漏洞入侵企業內網,給用戶帶來一定的網絡安全隱患,甚至造成重大財產損失。2018年10月,國內一大批服務器遭入侵,經分析確認,發現植入的勒索病毒為最新的Satan4.2勒索病毒變種。
該病毒通過入侵目標計算機遠程桌面進行感染安裝,黑客通過暴力枚舉直接連入公網的遠程桌面服務從而入侵服務器,獲取權限后便會上傳該勒索病毒進行感染,勒索病毒啟動后竟然會顯示感染進度等信息。
BlackRouter勒索病毒變種
BlackRouter勒索病毒使用了成熟的.net加密庫,運用AES算法加密文件、RSA算法加密 密鑰,在沒有攻擊者私鑰的情況下無法解密文件。該病毒在2018年4月份的舊版本曾偽裝為正常軟件誘導受害者下載,運行之后釋放出正常軟件和勒索病毒,2019年1月初被捕獲到新的病毒變種,目前仍然活躍。
KeyPass勒索病毒變種
2019年1月19日,KeyPass 勒索病毒新變種爆發,該病毒以偽造軟件破解工具或惡意捆綁的方式進行傳播感染,并會偽裝成windows升級更新達到加密目的,用戶感染后文檔文件會被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后綴。
Xcode事件
除了黑吃黑和變種病毒,也有黑客把心思花在代碼上。
比如曾轟動一時的Xcode事件。蘋果設備上的APP都是由蘋果Xcode開發工具所編寫,但Xcode體積過于龐大,如果在蘋果官方商店安裝會非常緩慢,于是很多開發者會在網盤或迅雷下載。而黑客們就在這些非官方渠道的Xcode藏了殺機,利用開發者感染了企業上架的APP。
整個經過就是:
黑客將包含惡意功能的Xcode重新打包,發到各大蘋果開發社區供人下載;
來自于各企業內的開發者下載安裝了包含惡意代碼的Xcode編寫APP;
惡意Xcode開始工作,向這些APP注入信息竊取功能;
被注入惡意功能的APP通過審核上架蘋果官方商店;
用戶在蘋果商店安裝了這些被感染的APP。
當然,抄得好萬事皆宜,抄得不好那就悲催了。比如有黑客抄襲了有后門的病毒代碼,結果為他人做嫁衣。
總之,黑客們可能比你想的更狡猾,沒有不能抄的病毒,沒有不能改的代碼。豬位吃瓜快樂。
雷鋒網宅客頻道(微信公眾號:letshome),專注先鋒技術,講述黑客背后故事,歡迎關注。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
