正月十五一過,新年就算過去了。
誰又能想到豬年開年大戲居然是大型吃瓜現場呢?演員翟天臨以“知網是什麼”為開端引爆自己,至此被扒出公開論文抄襲,複製比53%,甚至碩士論文也被扒出抄了陳坤的本科論文。
2月19日,圍觀群眾等到了大戲終章,北京電影學院官方微博釋出說明稱,
撤銷翟天臨博士學位,取消陳浥博導資格。二人對此均表示接受。
有趣的是,宅客頻道編輯發現這個瓜在安全圈也吃的津津有味,朋友圈某位白帽子就吐槽翟天臨時候說道,這人頭髮比我多,長得比我帥,但論文寫得一定沒我好。
究其原因一方面是與這群“又禿又強”的碩博群體有真實共鳴,另一方便是“抄襲”這事在安全圈也不新鮮。很多新病毒都在功能、攻擊手法上借鑑知名病毒,此類“抄襲”可謂多如牛毛。相比學術圈簡單粗暴的“複製貼上”式抄襲,安全圈要複雜得多。
黑吃黑式抄襲
抄別人的病毒不算什麼,抄了還能幹掉原病毒就有點厲害了。比如,最近亞信安全偵測到一個會從某網域下載二進位制檔案的新病毒指令碼。
▲偵測到會從某網域下載檔案的新指令碼
經過調查發現,這一指令碼與2018年11月所蒐集到的某個 KORKERDS 樣本程式碼幾乎完全相同,只是新增及刪除的少數部分。與KORKERDS相比,這個新發現的指令碼並不會移除系統上已安裝的安全產品,也不會在系統上安裝Rootkit,反而會將 KORKERDS 惡意挖礦程式和 Rootkit 元件清除。
這就很牛掰了,在線上演黑吃黑。
除此之外,該指令碼抄襲了Xbash的功能和KORKERDS惡意程式,還會安裝一個挖礦惡意程式,也會將自己植入系統並在crontab當中設定排程以便在重啟後繼續執行,並且防止遭到刪除,此外也將一些記錄檔案內容清除為0。
當然,這個指令碼並非第一個會清除系統上其他惡意程式的惡意程式,之前的案例卻沒有如此大量清除Linux惡意程式。對於網路犯罪集團來說,清除其他競爭對手的惡意程式只是提高其獲利的手段之一。
變種病毒
另一種好用省事的“抄襲”法是病毒變種。
2017年5月,WannaCry 勒索病毒席捲全球。惡意程式碼掃描開放 445 檔案共享埠的 Windows 機器,無需使用者任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。受害者電腦會被駭客鎖定,提示支付價值相當於 300 美元(約合人民幣 2069 元)的比特幣才可解鎖。
至此拉開了一場轟轟烈烈的攻防對抗戰。一邊是安全廠商推出各種防禦防毒方案,一方面是駭客們搞出的一波又一波變種,“WannaCry 2。0”、“WannaSister”(想妹妹)等等。
甚至事情過去一個月以後,熱門手遊《王者榮耀》的外掛竟也被瞄上。也許對“永恆之藍”帶來的邪惡影響帶著極其黑暗的崇拜,這款勒索軟體的作者把勒索敲詐頁面做成了高仿電腦版的“永恆之藍”勒索病毒。軟體執行後,安卓手機使用者的桌面桌布、軟體名稱和圖示會被篡改。手機中的照片、下載、雲盤等目錄下的檔案進行加密,並向用戶勒索贖金,金額在 20 元、40 元不等。並且宣稱 3 天不交贖金,價格將翻倍,7 天不交,將刪除所有加密檔案。
而這款高防“永恆之藍”也有很多變種,透過生成器選擇不同的配置資訊,可以在加密演算法、金鑰生成演算法上進行隨機的變化,甚至可以選擇對生成的病毒樣本進行加固混淆。
更有意思的是,病毒傳播採用了“收徒”制。
1、 病毒作者製作病毒生成器自己使用或授權他人使用;2、 透過 QQ 群、QQ 空間、或是上傳教學影片傳播製作教程;3、 作者徒弟修改病毒生成器,自己使用或是授權他人使用。
彷彿看了一窩傳銷組織……
目前主流的兩個勒索病毒家族是GlobeImposter家族和Crysis家族。這兩個家族幾乎每隔一段時間就會出現新字尾變種。而另一個後來居上的勒索病毒家族是2018年1月首次被發現的GandCrab勒索病毒,其短短數月便歷經3個版本的更迭,迅速發展成為2018年第三大流行勒索病毒家族。
當然。其他勒索病毒家族也沒少閒著,這裡列舉了近年部分勒索病毒變種:
Shifr勒索病毒變種CryptWalker
2018年2月20日,Shifr勒索病毒變種 Cypher 被曝加密檔案後,會將檔案字尾修改為“。 cypher”。根據提示,會向用戶勒索1個比特幣。
Xiaoba勒索病毒變種
Xiaoba勒索病毒變種玩起了二次元風,加密檔案後將字尾改為。病名は愛です[BaYuCheng@yeah。net]。xiaoba,並在桌面背景顯示一段恐嚇性日文,大意是說看到這段文字的使用者將面臨“死亡”。此外彈出200秒倒計時視窗,要求使用者在規定時間內輸入密碼,否則將被刪除所有檔案。
Scarab勒索病毒變種
通常,Scarab勒索病毒是利用Necurs殭屍網路進行傳播的,Necurs是世界上最大的殭屍網路之一,曾用於傳播多個惡意家族樣本。2018年8月,Scarab 勒索病毒出現最新變種,該變種檔案加密字尾為。hitler,會透過RDP爆破+人工、捆綁軟體的方式進行傳播。
Satan勒索病毒新變種
作為2018年最為活躍的勒索病毒之一,撒旦(Satan)利用多種漏洞入侵企業內網,給使用者帶來一定的網路安全隱患,甚至造成重大財產損失。2018年10月,國內一大批伺服器遭入侵,經分析確認,發現植入的勒索病毒為最新的Satan4。2勒索病毒變種。該病毒透過入侵目標計算機遠端桌面進行感染安裝,駭客透過暴力列舉直接連入公網的遠端桌面服務從而入侵伺服器,獲取許可權後便會上傳該勒索病毒進行感染,勒索病毒啟動後竟然會顯示感染進度等資訊。
BlackRouter勒索病毒變種
BlackRouter勒索病毒使用了成熟的。net加密庫,運用AES演算法加密檔案、RSA演算法加密 金鑰,在沒有攻擊者私鑰的情況下無法解密檔案。該病毒在2018年4月份的舊版本曾偽裝為正常軟體誘導受害者下載,執行之後釋放出正常軟體和勒索病毒,2019年1月初被捕獲到新的病毒變種,目前仍然活躍。
KeyPass勒索病毒變種
2019年1月19日,KeyPass 勒索病毒新變種爆發,該病毒以偽造軟體破解工具或惡意捆綁的方式進行傳播感染,並會偽裝成windows升級更新達到加密目的,使用者感染後文檔檔案會被加密,並新增“。djvu ”、“ 。tro ”或“。tfude”等字尾。
Xcode事件
除了黑吃黑和變種病毒,也有駭客把心思花在程式碼上。
比如曾轟動一時的Xcode事件。蘋果裝置上的APP都是由蘋果Xcode開發工具所編寫,但Xcode體積過於龐大,如果在蘋果官方商店安裝會非常緩慢,於是很多開發者會在網盤或迅雷下載。而駭客們就在這些非官方渠道的Xcode藏了殺機,利用開發者感染了企業上架的APP。
整個經過就是:
駭客將包含惡意功能的Xcode重新打包,發到各大蘋果開發社群供人下載;來自於各企業內的開發者下載安裝了包含惡意程式碼的Xcode編寫APP;惡意Xcode開始工作,向這些APP注入資訊竊取功能;被注入惡意功能的APP透過稽核上架蘋果官方商店;使用者在蘋果商店安裝了這些被感染的APP。
當然,抄得好萬事皆宜,抄得不好就悲催了。比如有駭客抄襲了帶後門的病毒程式碼,結果為他人做了嫁衣。
總之,駭客們可能比你想的更狡猾,沒有不能抄的病毒,沒有不能改的程式碼。豬位吃瓜快樂。
