除了“复制粘贴”,安全圈的抄袭更复杂

2019 年 2 月 21 日 雷锋网

▲点击上方 雷锋网 关注

文 | 又田

来自雷锋网(leiphone-sz)的报道

谁又能想到猪年开年大戏居然是大型吃瓜现场呢?演员翟天临以“知网是什么”为开端引爆自己,至此被扒出公开论文抄袭,复制比53%,甚至硕士论文也被扒出抄了陈坤的本科论文。

2月19日,围观群众等到了大戏终章,北京电影学院官方微博发布说明称,撤销翟天临博士学位,取消陈浥博导资格。二人对此均表示接受。

有趣的是,雷锋网编辑发现这个瓜在安全圈也吃的津津有味,朋友圈某位白帽子就吐槽翟天临时候说道,这人头发比我多,长得比我帅,但论文写得一定没我好。

究其原因一方面是与这群“又秃又强”的硕博群体有真实共鸣,另一方便是“抄袭”这事在安全圈也不新鲜。很多新病毒都在功能、攻击手法上借鉴知名病毒,此类“抄袭”可谓多如牛毛。相比学术圈简单粗暴的“复制粘贴”式抄袭,安全圈要复杂得多。



黑吃黑式抄袭

抄别人的病毒不算什么,抄了还能干掉原病毒就有点厉害了。比如,最近亚信安全侦测到一个会从某网域下载二进制文件的新病毒脚本。

【侦测到会从某网域下载档案的新脚本】

经过调查发现,这一脚本与2018年11月所搜集到的某个 KORKERDS 样本代码几乎完全相同,只是新增及删除的少数部分。与KORKERDS相比,这个新发现的脚本并不会移除系统上已安装的安全产品,也不会在系统上安装Rootkit,反而会将 KORKERDS 恶意挖矿程序和 Rootkit 组件清除。

这就很牛掰了,在线上演黑吃黑。

除此之外,该脚本抄袭了Xbash的功能和KORKERDS恶意程序,还会安装一个挖矿恶意程序,也会将自己植入系统并在crontab当中设定排程以便在重启后继续执行,并且防止遭到删除,此外也将一些记录文件内容清除为0。

当然,这个脚本并非第一个会清除系统上其他恶意程序的恶意程序,之前的案例却没有如此大量清除Linux恶意程序。对于网络犯罪集团来说,清除其他竞争对手的恶意程序只是提高其获利的手段之一。

另一种好用省事的“抄袭”法是病毒变种。

2017年5月,WannaCry 勒索病毒席卷全球。恶意代码扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。受害者电脑会被黑客锁定,提示支付价值相当于 300 美元(约合人民币 2069 元)的比特币才可解锁。

至此拉开了一场轰轰烈烈的攻防对抗战。一边是安全厂商推出各种防御杀毒方案,一方面是黑客们搞出的一波又一波变种,“WannaCry 2.0”、“WannaSister”(想妹妹)等等。

甚至事情过去一个月以后,热门手游《王者荣耀》的外挂竟也被瞄上。

雷锋网曾在《打个“农药”就可能被勒索 20 块,究竟怎么回事?》一文中描写过,也许对“永恒之蓝”带来的邪恶影响带着极其黑暗的崇拜,这款勒索软件的作者把勒索敲诈页面做成了高仿电脑版的“永恒之蓝”勒索病毒。软件运行后,安卓手机用户的桌面壁纸、软件名称和图标会被篡改。手机中的照片、下载、云盘等目录下的文件进行加密,并向用户勒索赎金,金额在 20 元、40 元不等。并且宣称 3 天不交赎金,价格将翻倍,7 天不交,将删除所有加密文件。

而这款高防“永恒之蓝”也有很多变种,通过生成器选择不同的配置信息,可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆。

更有意思的是,病毒传播采用了“收徒”制。

1、 病毒作者制作病毒生成器自己使用或授权他人使用;

2、 通过 QQ 群、QQ 空间、或是上传教学视频传播制作教程;

3、 作者徒弟修改病毒生成器,自己使用或是授权他人使用。

仿佛看了一窝传销组织……

目前主流的两个勒索病毒家族是GlobeImposter家族和Crysis家族。这两个家族几乎每隔一段时间就会出现新后缀变种。而另一个后来居上的勒索病毒家族是2018年1月首次被发现的GandCrab勒索病毒,其短短数月便历经3个版本的更迭,迅速发展成为2018年第三大流行勒索病毒家族。

当然。其他勒索病毒家族也没少闲着,这里列举了近年部分勒索病毒变种:

Shifr勒索病毒变种CryptWalker

2018年2月20日,Shifr勒索病毒变种 Cypher 被曝加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。

Xiaoba勒索病毒变种

Xiaoba勒索病毒变种玩起了二次元风,加密文件后将后缀改为.病名は愛です[BaYuCheng@yeah.net].xiaoba,并在桌面背景显示一段恐吓性日文,大意是说看到这段文字的用户将面临“死亡”。此外弹出200秒倒计时窗口,要求用户在规定时间内输入密码,否则将被删除所有文件。

Scarab勒索病毒变种

通常,Scarab勒索病毒是利用Necurs僵尸网络进行传播的,Necurs是世界上最大的僵尸网络之一,曾用于传播多个恶意家族样本。2018年8月,Scarab 勒索病毒出现最新变种,该变种文件加密后缀为.hitler,会通过RDP爆破+人工、捆绑软件的方式进行传播。

Satan勒索病毒新变种

作为2018年最为活跃的勒索病毒之一,撒旦(Satan)利用多种漏洞入侵企业内网,给用户带来一定的网络安全隐患,甚至造成重大财产损失。2018年10月,国内一大批服务器遭入侵,经分析确认,发现植入的勒索病毒为最新的Satan4.2勒索病毒变种。

该病毒通过入侵目标计算机远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后竟然会显示感染进度等信息。

BlackRouter勒索病毒变种

BlackRouter勒索病毒使用了成熟的.net加密库,运用AES算法加密文件、RSA算法加密 密钥,在没有攻击者私钥的情况下无法解密文件。该病毒在2018年4月份的旧版本曾伪装为正常软件诱导受害者下载,运行之后释放出正常软件和勒索病毒,2019年1月初被捕获到新的病毒变种,目前仍然活跃。

KeyPass勒索病毒变种

2019年1月19日,KeyPass 勒索病毒新变种爆发,该病毒以伪造软件破解工具或恶意捆绑的方式进行传播感染,并会伪装成windows升级更新达到加密目的,用户感染后文档文件会被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。



Xcode事件

除了黑吃黑和变种病毒,也有黑客把心思花在代码上。

比如曾轰动一时的Xcode事件。苹果设备上的APP都是由苹果Xcode开发工具所编写,但Xcode体积过于庞大,如果在苹果官方商店安装会非常缓慢,于是很多开发者会在网盘或迅雷下载。而黑客们就在这些非官方渠道的Xcode藏了杀机,利用开发者感染了企业上架的APP。

整个经过就是:

黑客将包含恶意功能的Xcode重新打包,发到各大苹果开发社区供人下载;

来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP;

恶意Xcode开始工作,向这些APP注入信息窃取功能;

被注入恶意功能的APP通过审核上架苹果官方商店;

用户在苹果商店安装了这些被感染的APP。

当然,抄得好万事皆宜,抄得不好那就悲催了。比如有黑客抄袭了有后门的病毒代码,结果为他人做嫁衣。

总之,黑客们可能比你想的更狡猾,没有不能抄的病毒,没有不能改的代码。

- END -

  ◆  


推荐阅读


华为真的不造车吗?

小米 9 来了,雷军:这是最后一次定「3000」以内

聊天宝现重大Bug:用户可兑换百万现金;京东淘汰10%高管属实

野望粤港澳大湾区未来16年,产业界如何落子?

苹果今年将推 3 款新 iPhone;小米手机部架构大调整

5G 商用来了!MWC 2019 看点最全汇总

苹果可折叠 iPhone 专利曝光;京东金融回应App问题:错误开发

登录查看更多
0

相关内容

【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
56+阅读 · 2020年6月26日
【干货书】现代数据平台架构,636页pdf
专知会员服务
253+阅读 · 2020年6月15日
还在修改博士论文?这份《博士论文写作技巧》为你指南
少标签数据学习,54页ppt
专知会员服务
196+阅读 · 2020年5月22日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
翟天临博士所发论文涉嫌抄袭(附各路证据)
十五条有用的Golang编程经验
CSDN大数据
5+阅读 · 2017年8月7日
Arxiv
7+阅读 · 2018年3月19日
Arxiv
6+阅读 · 2018年1月14日
VIP会员
Top
微信扫码咨询专知VIP会员