除了“复制粘贴”,安全圈的抄袭更复杂

栏目: IOS · 发布时间: 5年前

内容简介:正月十五一过,新年就算过去了。谁又能想到猪年开年大戏居然是大型吃瓜现场呢?演员翟天临以“知网是什么”为开端引爆自己,至此被扒出公开论文抄袭,复制比53%,甚至硕士论文也被扒出抄了陈坤的本科论文。2月19日,围观群众等到了大戏终章,北京电影学院官方微博发布说明称,

正月十五一过,新年就算过去了。

谁又能想到猪年开年大戏居然是大型吃瓜现场呢?演员翟天临以“知网是什么”为开端引爆自己,至此被扒出公开论文抄袭,复制比53%,甚至硕士论文也被扒出抄了陈坤的本科论文。

2月19日,围观群众等到了大戏终章,北京电影学院官方微博发布说明称, 撤销翟天临博士学位,取消陈浥博导资格。二人对此均表示接受。

除了“复制粘贴”,安全圈的抄袭更复杂

有趣的是,雷锋网编辑发现这个瓜在安全圈也吃的津津有味,朋友圈某位白帽子就吐槽翟天临时候说道,这人头发比我多,长得比我帅,但论文写得一定没我好。

究其原因一方面是与这群“又秃又强”的硕博群体有真实共鸣,另一方便是“抄袭”这事在安全圈也不新鲜。很多新病毒都在功能、攻击手法上借鉴知名病毒,此类“抄袭”可谓多如牛毛。相比学术圈简单粗暴的“复制粘贴”式抄袭,安全圈要复杂得多。

黑吃黑式抄袭

抄别人的病毒不算什么,抄了还能干掉原病毒就有点厉害了。比如,最近亚信安全侦测到一个会从某网域下载二进制文件的新病毒脚本。

除了“复制粘贴”,安全圈的抄袭更复杂

【侦测到会从某网域下载档案的新脚本】

经过调查发现,这一脚本与2018年11月所搜集到的某个 KORKERDS 样本代码几乎完全相同,只是新增及删除的少数部分。与KORKERDS相比,这个新发现的脚本并不会移除系统上已安装的安全产品,也不会在系统上安装Rootkit,反而会将 KORKERDS 恶意挖矿程序和 Rootkit 组件清除。

这就很牛掰了,在线上演黑吃黑。

除此之外,该脚本抄袭了Xbash的功能和KORKERDS恶意程序,还会安装一个挖矿恶意程序,也会将自己植入系统并在crontab当中设定排程以便在重启后继续执行,并且防止遭到删除,此外也将一些记录文件内容清除为0。

当然,这个脚本并非第一个会清除系统上其他恶意程序的恶意程序,之前的案例却没有如此大量清除 Linux 恶意程序。对于网络犯罪集团来说,清除其他竞争对手的恶意程序只是提高其获利的手段之一。

变种病毒

另一种好用省事的“抄袭”法是病毒变种。

2017年5月,WannaCry 勒索病毒席卷全球。恶意代码扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。受害者电脑会被黑客锁定,提示支付价值相当于 300 美元(约合人民币 2069 元)的比特币才可解锁。

至此拉开了一场轰轰烈烈的攻防对抗战。一边是安全厂商推出各种防御杀毒方案,一方面是黑客们搞出的一波又一波变种,“WannaCry 2.0”、“WannaSister”(想妹妹)等等。

甚至事情过去一个月以后,热门手游《王者荣耀》的外挂竟也被瞄上。

雷锋网 (公众号:雷锋网) 曾在《 打个“农药”就可能被勒索 20 块,究竟怎么回事? 》一文中描写过,也许对“永恒之蓝”带来的邪恶影响带着极其黑暗的崇拜,这款勒索软件的作者把勒索敲诈页面做成了高仿电脑版的“永恒之蓝”勒索病毒。软件运行后,安卓手机用户的桌面壁纸、软件名称和图标会被篡改。手机中的照片、下载、云盘等目录下的文件进行加密,并向用户勒索赎金,金额在 20 元、40 元不等。并且宣称 3 天不交赎金,价格将翻倍,7 天不交,将删除所有加密文件。

而这款高防“永恒之蓝”也有很多变种,通过生成器选择不同的配置信息,可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆。

更有意思的是,病毒传播采用了“收徒”制。

1、 病毒作者制作病毒生成器自己使用或授权他人使用;
2、 通过 QQ 群、QQ 空间、或是上传教学视频传播制作教程;
3、 作者徒弟修改病毒生成器,自己使用或是授权他人使用。

仿佛看了一窝传销组织……

除了“复制粘贴”,安全圈的抄袭更复杂

目前主流的两个勒索病毒家族是GlobeImposter家族和Crysis家族。这两个家族几乎每隔一段时间就会出现新后缀变种。而另一个后来居上的勒索病毒家族是2018年1月首次被发现的GandCrab勒索病毒,其短短数月便历经3个版本的更迭,迅速发展成为2018年第三大流行勒索病毒家族。

当然。其他勒索病毒家族也没少闲着,这里列举了近年部分勒索病毒变种:

Shifr勒索病毒变种CryptWalker

2018年2月20日,Shifr勒索病毒变种 Cypher 被曝加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。

Xiaoba勒索病毒变种

Xiaoba勒索病毒变种玩起了二次元风,加密文件后将后缀改为.病名は愛です[BaYuCheng@yeah.net].xiaoba,并在桌面背景显示一段恐吓性日文,大意是说看到这段文字的用户将面临“死亡”。此外弹出200秒倒计时窗口,要求用户在规定时间内输入密码,否则将被删除所有文件。

Scarab勒索病毒变种

通常,Scarab勒索病毒是利用Necurs僵尸网络进行传播的,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本。2018年8月,Scarab 勒索病毒出现最新变种,该变种文件加密后缀为.hitler,会通过RDP爆破+人工、捆绑软件的方式进行传播。

Satan勒索病毒新变种

作为2018年最为活跃的勒索病毒之一,撒旦(Satan)利用多种漏洞入侵企业内网,给用户带来一定的网络安全隐患,甚至造成重大财产损失。2018年10月,国内一大批服务器遭入侵,经分析确认,发现植入的勒索病毒为最新的Satan4.2勒索病毒变种。

该病毒通过入侵目标计算机远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后竟然会显示感染进度等信息。

BlackRouter勒索病毒变种

BlackRouter勒索病毒使用了成熟的.net加密库,运用AES算法加密文件、RSA算法加密 密钥,在没有攻击者私钥的情况下无法解密文件。该病毒在2018年4月份的旧版本曾伪装为正常软件诱导受害者下载,运行之后释放出正常软件和勒索病毒,2019年1月初被捕获到新的病毒变种,目前仍然活跃。

KeyPass勒索病毒变种

2019年1月19日,KeyPass 勒索病毒新变种爆发,该病毒以伪造软件破解 工具 或恶意捆绑的方式进行传播感染,并会伪装成windows升级更新达到加密目的,用户感染后文档文件会被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。

Xcode事件

除了黑吃黑和变种病毒,也有黑客把心思花在代码上。

比如曾轰动一时的Xcode事件。苹果设备上的APP都是由苹果Xcode开发工具所编写,但Xcode体积过于庞大,如果在苹果官方商店安装会非常缓慢,于是很多开发者会在网盘或迅雷下载。而黑客们就在这些非官方渠道的Xcode藏了杀机,利用开发者感染了企业上架的APP。

整个经过就是:

黑客将包含恶意功能的Xcode重新打包,发到各大苹果开发社区供人下载;

来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP;

恶意Xcode开始工作,向这些APP注入信息窃取功能;

被注入恶意功能的APP通过审核上架苹果官方商店;

用户在苹果商店安装了这些被感染的APP。

当然,抄得好万事皆宜,抄得不好那就悲催了。比如有黑客抄袭了有后门的病毒代码,结果为他人做嫁衣。

总之,黑客们可能比你想的更狡猾,没有不能抄的病毒,没有不能改的代码。猪位吃瓜快乐。

雷锋网宅客频道(微信公众号:letshome),专注先锋技术,讲述黑客背后故事,欢迎关注。

雷锋网原创文章,未经授权禁止转载。详情见 转载须知


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人工智能基础

人工智能基础

汤晓鸥、陈玉琨 / 华东师范大学出版社 / 2018-4-1 / 35.00元

人工智能基础(高中版)》是面向高中学生的教材。讲授人工智能的发展历史、基本概念以及实际应用,使学生理解人工智能的基本原理,特别是数据、算法与应用之间的相互关系。并结合常见的应用场景,理解人工智能技术(包括感知与决策)的基本工作方式,通过动手实践,更深入地理解人工智能技术的原理、能力,以及在实用中面临的挑战。本书强调人工智能基本理念与原理的传递,注重创造力、想象力、整体思考,以及动手能力的提升。一起来看看 《人工智能基础》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

MD5 加密
MD5 加密

MD5 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具