1
正月十五一过,新年就算过去了。
谁又能想到猪年开年大戏居然是大型吃瓜现场呢?演员翟天临以“知网是什么”为开端引爆自己,至此被扒出公开论文抄袭,复制比53%,甚至硕士论文也被扒出抄了陈坤的本科论文。
2月19日,围观群众等到了大戏终章,北京电影学院官方微博发布说明称,撤销翟天临博士学位,取消陈浥博导资格。二人对此均表示接受。
有趣的是,雷锋网编辑发现这个瓜在安全圈也吃的津津有味,朋友圈某位白帽子就吐槽翟天临时候说道,这人头发比我多,长得比我帅,但论文写得一定没我好。
究其原因一方面是与这群“又秃又强”的硕博群体有真实共鸣,另一方便是“抄袭”这事在安全圈也不新鲜。很多新病毒都在功能、攻击手法上借鉴知名病毒,此类“抄袭”可谓多如牛毛。相比学术圈简单粗暴的“复制粘贴”式抄袭,安全圈要复杂得多。
黑吃黑式抄袭
抄别人的病毒不算什么,抄了还能干掉原病毒就有点厉害了。比如,最近亚信安全侦测到一个会从某网域下载二进制文件的新病毒脚本。
【侦测到会从某网域下载档案的新脚本】
经过调查发现,这一脚本与2018年11月所搜集到的某个 KORKERDS 样本代码几乎完全相同,只是新增及删除的少数部分。与KORKERDS相比,这个新发现的脚本并不会移除系统上已安装的安全产品,也不会在系统上安装Rootkit,反而会将 KORKERDS 恶意挖矿程序和 Rootkit 组件清除。
这就很牛掰了,在线上演黑吃黑。
除此之外,该脚本抄袭了Xbash的功能和KORKERDS恶意程序,还会安装一个挖矿恶意程序,也会将自己植入系统并在crontab当中设定排程以便在重启后继续执行,并且防止遭到删除,此外也将一些记录文件内容清除为0。
当然,这个脚本并非第一个会清除系统上其他恶意程序的恶意程序,之前的案例却没有如此大量清除Linux恶意程序。对于网络犯罪集团来说,清除其他竞争对手的恶意程序只是提高其获利的手段之一。
另一种好用省事的“抄袭”法是病毒变种。
2017年5月,WannaCry 勒索病毒席卷全球。恶意代码扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。受害者电脑会被黑客锁定,提示支付价值相当于 300 美元(约合人民币 2069 元)的比特币才可解锁。
至此拉开了一场轰轰烈烈的攻防对抗战。一边是安全厂商推出各种防御杀毒方案,一方面是黑客们搞出的一波又一波变种,“WannaCry 2.0”、“WannaSister”(想妹妹)等等。
甚至事情过去一个月以后,热门手游《王者荣耀》的外挂竟也被瞄上。
雷锋网曾在《打个“农药”就可能被勒索 20 块,究竟怎么回事?》一文中描写过,也许对“永恒之蓝”带来的邪恶影响带着极其黑暗的崇拜,这款勒索软件的作者把勒索敲诈页面做成了高仿电脑版的“永恒之蓝”勒索病毒。软件运行后,安卓手机用户的桌面壁纸、软件名称和图标会被篡改。手机中的照片、下载、云盘等目录下的文件进行加密,并向用户勒索赎金,金额在 20 元、40 元不等。并且宣称 3 天不交赎金,价格将翻倍,7 天不交,将删除所有加密文件。
而这款高防“永恒之蓝”也有很多变种,通过生成器选择不同的配置信息,可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆。
更有意思的是,病毒传播采用了“收徒”制。
1、 病毒作者制作病毒生成器自己使用或授权他人使用;
2、 通过 QQ 群、QQ 空间、或是上传教学视频传播制作教程;
3、 作者徒弟修改病毒生成器,自己使用或是授权他人使用。
仿佛看了一窝传销组织……
目前主流的两个勒索病毒家族是GlobeImposter家族和Crysis家族。这两个家族几乎每隔一段时间就会出现新后缀变种。而另一个后来居上的勒索病毒家族是2018年1月首次被发现的GandCrab勒索病毒,其短短数月便历经3个版本的更迭,迅速发展成为2018年第三大流行勒索病毒家族。
当然。其他勒索病毒家族也没少闲着,这里列举了近年部分勒索病毒变种:
Shifr勒索病毒变种CryptWalker
2018年2月20日,Shifr勒索病毒变种 Cypher 被曝加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。
Xiaoba勒索病毒变种
Xiaoba勒索病毒变种玩起了二次元风,加密文件后将后缀改为.病名は愛です[BaYuCheng@yeah.net].xiaoba,并在桌面背景显示一段恐吓性日文,大意是说看到这段文字的用户将面临“死亡”。此外弹出200秒倒计时窗口,要求用户在规定时间内输入密码,否则将被删除所有文件。
Scarab勒索病毒变种
通常,Scarab勒索病毒是利用Necurs僵尸网络进行传播的,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本。2018年8月,Scarab 勒索病毒出现最新变种,该变种文件加密后缀为.hitler,会通过RDP爆破+人工、捆绑软件的方式进行传播。
Satan勒索病毒新变种
作为2018年最为活跃的勒索病毒之一,撒旦(Satan)利用多种漏洞入侵企业内网,给用户带来一定的网络安全隐患,甚至造成重大财产损失。2018年10月,国内一大批服务器遭入侵,经分析确认,发现植入的勒索病毒为最新的Satan4.2勒索病毒变种。
该病毒通过入侵目标计算机远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后竟然会显示感染进度等信息。
BlackRouter勒索病毒变种
BlackRouter勒索病毒使用了成熟的.net加密库,运用AES算法加密文件、RSA算法加密 密钥,在没有攻击者私钥的情况下无法解密文件。该病毒在2018年4月份的旧版本曾伪装为正常软件诱导受害者下载,运行之后释放出正常软件和勒索病毒,2019年1月初被捕获到新的病毒变种,目前仍然活跃。
KeyPass勒索病毒变种
2019年1月19日,KeyPass 勒索病毒新变种爆发,该病毒以伪造软件破解工具或恶意捆绑的方式进行传播感染,并会伪装成windows升级更新达到加密目的,用户感染后文档文件会被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。
Xcode事件
除了黑吃黑和变种病毒,也有黑客把心思花在代码上。
比如曾轰动一时的Xcode事件。苹果设备上的APP都是由苹果Xcode开发工具所编写,但Xcode体积过于庞大,如果在苹果官方商店安装会非常缓慢,于是很多开发者会在网盘或迅雷下载。而黑客们就在这些非官方渠道的Xcode藏了杀机,利用开发者感染了企业上架的APP。
整个经过就是:
黑客将包含恶意功能的Xcode重新打包,发到各大苹果开发社区供人下载;
来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP;
恶意Xcode开始工作,向这些APP注入信息窃取功能;
被注入恶意功能的APP通过审核上架苹果官方商店;
用户在苹果商店安装了这些被感染的APP。
当然,抄得好万事皆宜,抄得不好那就悲催了。比如有黑客抄袭了有后门的病毒代码,结果为他人做嫁衣。
总之,黑客们可能比你想的更狡猾,没有不能抄的病毒,没有不能改的代码。猪位吃瓜快乐。
雷锋网宅客频道(微信公众号:letshome),专注先锋技术,讲述黑客背后故事,欢迎关注。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。