威胁研究之恶意软件演变简史evolution of malware

威胁研究之恶意软件演变简史evolution of malware

“计算机病毒”是少数人人都能理解的超然技术术语之一,包括儿童。无论社会经济背景或年龄如何,每个人对该术语都有直接的负面含义。它通常与破坏我们所依赖的技术的东西有关,无论是笔记本电脑、智能手机、应用程序还是游戏系统,这表明计算机和技术在我们的日常生活中已经变得无处不在。部分原因是我们都受到了病毒的影响,例如流感或普通感冒。和它的生物对应物一样,计算机病毒也会复制并可以从一个主机传播到另一个主机,从而产生从烦人到彻底破坏性的各种问题。

因此,鉴于第一个计算机病毒被发现已有 50 多年的历史,我们决定简要介绍从前互联网时代到当前僵尸网络、勒索软件、病毒、蠕虫世界的计算机恶意软件的历史。和更多。

首先,这里有一些基本术语:

  • 病毒无法在没有人为交互的情况下复制,无论是单击链接、打开附件、启动应用程序还是下载文件。
  • 蠕虫不需要人工交互,可以自行复制、深入系统并在设备之间移动。
  • 恶意软件是一个通用术语,包含所有威胁——病毒、蠕虫、僵尸网络、勒索软件等——任何与软件相关的恶意程序。

在如此短的博客文章中涵盖过去 50 年中的所有恶意软件和事件是不可能的。相反,我们重点介绍了过去 50 年中许多最著名的例子和令人难忘的事件。

很早之前

1971:第一个概念证明

在互联网存在之前,至少以我们今天所知道的形式存在,有高级研究计划署网络,简称 ARPANET。ARPANET 于 1967 年开始尝试连接远程计算机。第一台计算机于 1969 年连接,一年后,开发了网络控制程序 (NCP)(现代 TCP/IP 堆栈的前身)。NCP 是第一个使数据能够在计算机之间流动的网络传输层。

1971 年,开发了第一个微处理器 Intel 4004。它是第一个商业生产的通用 CPU。它的尺寸(2 英寸而不是 12 英寸)、价格(60 美元)和性能(与更大、更昂贵的处理器相比)开创了计算的新时代

具有讽刺意味的是,1971 年还见证了世界上第一个病毒概念证明的首演,被称为“爬行者”。尽管各种实体都将其视为世界上第一个计算机病毒并引用它,但 Creeper 实际上表现出蠕虫的行为。它基于德国数学家 约翰·冯·诺依曼 在 1940 年代首次提出的概念,由工程师鲍勃·托马斯在 BBN(后来被雷神收购的一家美国研发公司)建造。它通过 ARPANET 计算机传播并发布了以下消息:

“我是爬行者,如果可以的话,抓住我!”

像它的现代蠕虫后继者一样,它通过网络协议传播。目的不是出于恶意或不正当的原因,而是为了看看“我是爬行者,如果可以的话,抓住我”消息是否可以通过 ARPANET 传播到其他计算机。

它做到了。

1982:第一个 Mac 病毒

与每个非技术人员所说的“Mac 不易感染病毒”相反,在野外发现的第一个计算机病毒被称为“Elk Cloner”,旨在针对 Apple II 计算机。它是由一个 15 岁的孩子编写的,他编写了这样的程序来对他的朋友恶作剧。每当运行受感染的磁盘时,此引导扇区病毒就会传播。该病毒将驻留在内存中并寻找要感染的干净软盘。它显示以下消息:

在第 50 次开机时,Elk Cloner 会向用户展示一首诗:

麋鹿克隆:有个性的程序

它会在你所有的磁盘上

它会渗入你的筹码

没错,就是克隆人!

它会像胶水一样粘在你身上

它也会修改RAM

发送克隆机!

1986 年:第一个 PC 病毒

1986 年,计算仍处于初级阶段(速度慢且未连接互联网)。互联网的第一次迭代被归入政府和大学。互联网服务提供商 (ISP) 在 1989 年开始提供对互联网的公共访问至少需要三年时间。

当然,公告板系统 (BBS) 已经存在,但它们需要向 BBS 运营商托管的直接接入点 (POP) 拨打电话。与 BBS 的连接通常仅限于 BBS 的本地观众,因为从区号外拨打 BBS 的电话是按分钟计费的,因此非常昂贵。

然而,1986 年也出现了第一个 PC 病毒,被称为“大脑”。它改变了我们今天所知的信息安全世界。它起源于巴基斯坦,但很快在世界范围内传播到欧洲和北美。具有讽刺意味的是,由于采取了反盗版对策,病毒已经在机器之间复制。

Brain 病毒由来自巴基斯坦的两兄弟 Amjad Farooq Alvi 和 Basit Farooq Alvi 开发,他们创建了一种引导扇区病毒,该病毒向使用盗版医疗软件的个人加载警告。当然,因为没有互联网,它是通过复制软盘的人际互动传播的。用户不知道,受害者机器的主引导记录 (MBR) 在制作软件的非法副本时被感染,并在磁盘插入下一台机器时传播。因为没有办法知道受感染的 MBR 病毒会随波逐流,所以它一直在传播,直到它成为一种全球现象。

对许多人来说幸运的是,它不是一种破坏性病毒。它隐藏了一个特定的扇区,因此机器无法启动,并显示一条通知,其中包含 Farooq Alvi 兄弟的联系信息以进行补救。他们声称他们希望受影响的个人打电话给他们讨论如何合法地获取他们的软件。

在通知中,它指出:

欢迎来到 Dungeon (c) 1986 Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 献给今天不再与我们同在的数百万病毒的动态记忆 – 感谢上帝!当心 er..VIRUS :这个程序正在捕捉这些消息之后的程序….$#@%[email protected] !!

欢迎来到地牢 © 1986 Basit & Amjads (pvt)。脑计算机服务 730 NIZAM

LBOCK ALLAMA IQBAL 镇拉合尔-巴基斯坦电话:430791,443248,280530。当心这种病毒……联系我们接种疫苗……

事实证明,他们巧妙的计划非常成功,以至于兄弟俩接到了来自世界各地的电话。

1988:莫里斯蠕虫(The Morris worm)

病毒和蠕虫之间的区别在于,蠕虫不需要人类交互来传播。30多年前,世界上第一条蠕虫诞生了。它被称为莫里斯蠕虫,以其作者罗伯特莫里斯的名字命名。该蠕虫没有恶意。它是作为概念证明创建的,以查看是否可以进行手动复制。

蠕虫包含了几个第一。它利用各种程序和服务中的漏洞并检查是否存在现有感染,以及现代恶意软件的所有行为。由于莫里斯担心系统管理员会隔离蠕虫并忽略感染,因此他对其进行了编程以实现持久性。但是,没有办法停止自我复制过程,因此它会导致设备负载过高,使其无法运行,并在机器之间传播时导致网络中的拒绝服务 (DoS)

莫里斯先生是第一个根据《计算机欺诈和滥用法》被定罪的人。然而,他后来成为一名成功的企业家,并获得了麻省理工学院 (MIT) 的终身教职。

1989:世界上第一个勒索软件

1989 年,艾滋病木马首次亮相,成为世界上第一个观察到的 勒索软件。巧合的是,互联网访问也于 1989 年首次通过美国以外的名为 TheWorld 的 ISP 首次公开提供。然而,直到 2005 年,勒索软件才利用互联网连接来感染和攻击受害者。

1989 年,人类艾滋病病毒在全球范围内具有高度的话题性和相关性,类似于今天的 COVID-19 相关新闻。艾滋病特洛伊木马通过邮件(是的,物理邮件,不是电子邮件)通过 20,000 张受感染的软盘发送给全世界的艾滋病研究人员。磁盘运行后,它包含一份关于艾滋病的问卷。但在第 90 次重新启动时,它将文件名更改为加密字符串并将其对用户隐藏。然后屏幕上显示了每年租约 189 美元或终身许可证 385 美元的需求,发送到巴拿马的邮政信箱。只接受银行汇票、银行本票或汇票。

艾滋病特洛伊木马被归咎于已故的约瑟夫·波普博士,他声称他创建了勒索软件以将他收集的资金捐赠给艾滋病研究。然而,其他报道称,在被世界卫生组织拒绝工作后,他对世界卫生组织感到不满。有趣的是,波普博士没有将他的任何软盘寄给美国的研究人员

对该恶意软件的取证分析显示,该恶意软件的加密密钥是“Dr. Joseph Lewis Andrew Popp Jr.” 波普博士在英国被捕并受到指控,但在刑事诉讼期间,他被宣布精神失常并被驱逐回美国。

威胁研究之恶意软件演变简史evolution of malware
图 1:AIDS 勒索软件说明

1992:米开朗基罗(Michelangelo)

米开朗基罗是下一个产生重大影响的备受瞩目的病毒。Michelangelo 是一种针对 DOS 分区的引导扇区病毒。它是用汇编语言编写的,和它的前辈一样,它通过软盘传播,因为它以主引导记录为目标并感染了附加的软盘存储,允许它在复制和加载过程中传播。

它被命名为米开朗基罗,因为它被编程了一个定时炸弹——一个在米开朗基罗的生日 3 月 6 日唤醒的指令。让它臭名昭著的是,在它被发现后,有很多媒体报道警告用户要么在当天关闭计算机,要么将机器上的日期更改为提前一天,以免受到影响。这是病毒第一次受到主流媒体(包括平面媒体和电视媒体)的如此关注,有助于刺激全球杀毒软件的销售。

1994-95:warez scene 和第一次网络钓鱼攻击

随着美国在线 (AOL)、CompuServe 和 Prodigy 等服务的推出,互联网的使用在美国获得了广泛关注,诈骗和网络钓鱼的增长也在增长。对于许多在 AOL 聊天室长大的人来说,90 年代中期的 progz(程序俚语)和warez(软件俚语)场景是革命性的。由于拨号互联网访问非常昂贵,而且是按分钟提供的,因此许多威胁参与者都对窃取帐户凭据感兴趣。

新程序开始在非法warez 聊天室中交易,其中包含punterz(将人们踢下线)、网络钓鱼progz(窃取用户帐户)和用于生成随机信用卡的工具。最著名的节目之一是 AOHell,这是一个以 AOL 为名的游戏,其中包含一个随机帐户创建者,该帐户创建者使用随机创建的信用卡帐户免费开设一个月的帐户。

它还包含网络钓鱼的首批证据之一。虚假的自动 AOL 即时消息机器人向目标发送不加选择的即时消息,要求他们验证其帐户凭据,声称存在计费问题或类似问题。要继续与机器人交谈,受害者必须通过输入他们的用户名和密码来“验证他们的身份”。然后,AOHell 程序的用户收集此信息,以使用或出售免费帐户访问和垃圾邮件。

威胁研究之恶意软件演变简史evolution of malware
图 2:AOHell(维基百科)

在 AOL warez 房间中看到的其他细微差别是承诺做特定事情的程序,但实际上是针对不知情的“n00bs”或初学者用户/新手的凭证收集器。

欢迎来到千年虫(Y2K)

Y2K的黎明见证了越来越多的人在全球范围内建立联系。与此同时,由于互联网的高速增长,潜在受害者数量增加,攻击量急剧增加。

除了新兴高科技公司的成长(互联网泡沫)之外,1999 年还是陷入对“千年虫”漏洞的恐惧的一年。虽然不是病毒,但 Y2K 引起了广泛的恐慌,因为人们担心由于控制计算机主板的 BIOS 中的设计缺陷,传统计算机会在 1999 年 12 月 31 日之后停止运行。当 2000 年 1 月 1 日重新启动时,操作系统会认为是 1900 年 1 月 1 日,从气泵和电梯到交易大厅和发电厂,一切都被破坏了。最终,事实证明,这个设计缺陷并没有想象中那么严重,大多数组织和个人都毫发无伤地逃脱了。但对千年虫的恐惧在全球新闻中占据了数月之久。

1999/2000:第一个僵尸网络出现

到 2000 年,宽带接入的吸引力开始超越那些能够通过数字用户线路 (DSL) 连接接入 T1 线路的组织。家庭用户和组织现在可以 24×7 全天候在线。在接下来的几年里,网络犯罪分子利用这种无处不在的访问,开创了僵尸网络和蠕虫的时代。

当僵尸网络第一次出现时,这个词引起了天网的想法,天网是终结者电影中虚构的企业反派。但人工智能仍然是科幻小说的领域(当然,22 年后,我们仍处于人工智能的起步阶段)。但这并不意味着僵尸网络不是问题。简单地说,僵尸网络是一组受感染的计算机,在操作员的指挥和控制下。那时,僵尸网络很简单。它们感染并在机器之间传播,大多数僵尸网络恶意软件连接到 Internet 中继聊天(IRC——想想旧的 AOL 聊天室)上的预定命令和控制服务器 (C2) 以接收指令。

第一个观察到的僵尸网络是 EarthLink Spam 僵尸网络,它于 2000 年首次亮相。它的任务很简单:发送大量垃圾邮件。EarthLink 僵尸网络占当时所有垃圾邮件的 25%,总共约 12.5 亿封邮件。由于这种厚颜无耻的运动,它以 2500 万美元的价格对其运营商 Khan C. Smith 进行了前所未有的判决。

然而,GTbot 于 1999 年推出,使其成为真正的第一个僵尸网络。就恶意软件而言,它非常初级。它本质上将自己传播到其他机器并通过 IRC 接收命令。这些命令是由 GTbot 控制器发出的,他们使用这个受影响的设备(称为僵尸)网络来发起分布式拒绝服务 ( DDoS ) 攻击。

蠕虫的崛起

蠕虫仍然是威胁行为者武器库的一部分,尽管今天并不常见。如前所述,蠕虫与病毒不同,因为它们不需要人类交互来传播。而且由于蠕虫是自己传播的,它可以在很短的时间内广泛传播。无论其意图如何,在此期间被蠕虫感染通常都很明显,因为它通常会导致拒绝服务(通常是由于缺陷)。因为它们消耗不断增加的操作系统周期,它们最终会迫使受感染的机器停止运行。随着蠕虫的传播,由此产生的 DoS 攻击可能会在整个组织中级联,从而破坏整个组织,无论这是否是其意图。

2000:我爱你 2000 冲击波

I LOVE YOU 蠕虫病毒以创纪录的速度在世界各地传播,从而以重要的媒体报道开启了千禧年。I LOVE YOU 蠕虫病毒是由菲律宾的一名大学生 Onel De Guzman 创建的。

I LOVE YOU 蠕虫使用多种机制传播。首先,它通过电子邮件作为恶意附件“LOVE-LETTER-FOR-YOU.vbs.txt”发送给用户。当被受害者打开时,该蠕虫会查找受害者的 Microsoft Outlook 通讯簿并发送冒充受害者的电子邮件并将其自身复制为附件。这种新颖的方法导致数百万台计算机在几天内被感染,因为许多人信任来自受信任的同事(包括朋友、家人和同事)的电子邮件。这种抓取目标地址簿并在电子邮件中冒充他们的方法仍然被用作威胁参与者的交易 (EMOTET) 的一部分。

2003:冲击波(MSBlast,lovesan)

到 2003 年 8 月,许多个人和组织都使用宽带连接连接到互联网。这引发了破纪录的蠕虫和蠕虫攻击。

2003年8月11日,Blaster(又名MSBlast和lovesan)上市。当他们的机器突然经历可怕的“蓝屏死机”(BSOD)并重新启动时,大型组织的家庭用户和工作人员感到震惊。他们不知道的是,他们已经被爆破虫扰乱了。

Blaster 针对 Microsoft Windows XP 和 2003 操作系统中的远程过程调用 (RPC) 漏洞在全球传播。该蠕虫的目标是对 windowsupdate.com 执行 SYN 洪水攻击,以阻止机器访问更新。对微软来说幸运的是,作者犯了将 Blaster 引导到错误域的错误。windowsupdate.com 域并不重要,因为机器使用 windowsupdate.microsoft.com 来接收更新。

但是,由于蠕虫中的一个漏洞,它也因缓冲区溢出而导致拒绝服务 (BSOD)。继续重新启动并没有阻碍这项工作,因为它只是重新开始,一遍又一遍地关闭机器。由于互联网连接的广泛采用,这成为第一个全球拒绝服务攻击。

作者的意图在恶意软件二进制文件中发现的不祥信息中揭示:

我只想说爱你SAN!!

billy gates你为什么让这成为可能?别赚钱了

并修复您的软件!

该蠕虫源于对 Microsoft Patch Tuesday 补丁(俗称 Exploit Wednesday)的逆向工程。Blaster 不会影响在 8 月 11 日之前应用 ( MS03-026 ) 补丁的组织。此示例强调了组织在发布更新后尽快修补系统的重要性。不幸的是,直到今天——18 年后——许多组织仍然忽视了这个建议。

荣誉奖

红色代码 (2001)

  • 这种混合蠕虫寻找运行 Microsoft IIS 的易受攻击的 Web 服务器。一旦找到易受攻击的服务器,它就会显示以下消息:

你好!欢迎访问 http://www.worm.com!被中国人黑了!

  • 它还对预定站点发起 DDoS 攻击。

我的末日 (2004)

  • 这是传播速度最快的电子邮件蠕虫,超过了 I LOVE YOU。MyDoom 仍然保持着这一壮举的记录。

网络犯罪的黎明

2005:Mytob/Zotob,结合蠕虫/后门/僵尸网络

在 Mytob 之前,恶意软件的世界主要仅限于出于制造恶作剧或纯粹出于好奇而创建恶意软件的爱好者。然而,Mytob/Zotob 变体改变了一切。

Mytob 本质上结合了蠕虫/后门/僵尸网络的功能。它是 MyDoom 的一个变种,由创建 Zotob 蠕虫的同一位程序员创建。Mytob 以两种方式感染受害者机器。它要么通过恶意附件通过电子邮件到达,要么利用LSASS (MS04-011)协议或RCP-DCOM (MS04-012)中的漏洞并使用远程代码执行。它还利用受害者的通讯录进行自我传播,并通过网络扫描搜索其他机器,看看它们是否会被入侵。

Mytob 是最早通过阻止受害者计算机连接到各种更新站点来专门阻止或对抗反病毒软件的病毒之一。这是通过将所有已知的供应商 URI 重定向到 127.0.0.1(本地主机 IP)来完成的。这导致对面向公众的网站的所有查询都解析为机器本身,基本上无处可去。

Mytob 在当时非常多产,并且一直名列前 10 名。它有许多具有不同功能的变体,以至于反病毒公司通常会将整个字母表附加到恶意软件名称之后。

Zotob 变体采用了 Mytob 源代码的残余并包含MS05-039,这是 Microsoft Plug and Play for Windows 2000 中的缓冲区溢出漏洞。Zotob 使用此变体扫描易受 MS05-039 攻击的机器以进一步传播。Mytob/Zotob 变体具有令人难以置信的破坏性,摧毁了包括《纽约时报》在内的 100 个组织的运营。甚至 CNN 新闻主播 Wolf Blitzer也宣布Lou Dobbs 无法为他定期安排的节目播出。

间谍软件和劫持搜索结果的时代

2005:CoolWebSearch 和 BayRob

CoolWebSearch,通常称为“CWS”,是第一个劫持谷歌搜索结果的网络犯罪行动,将搜索结果与威胁参与者本身的搜索结果重叠。这样做是为了窃取 Google 的点击次数。CWS 最常使用路过式下载或广告软件程序分发。它是如此普遍且难以消除,以至于志愿者开发了程序并管理网络论坛来帮助免费消除 CWS 感染。CWS Shredder 是 CoolWebSearch 的受害者广泛使用的几个程序之一,以帮助修复他们的机器。

几年后的 2007 年,类似的攻击出现了。它使用了来自 eBay 的劫持搜索结果的变体。当俄亥俄州的一名妇女以几千美元购买一辆汽车时,发现这辆车从未到货。当局后来确定这辆车从未挂牌出售,而且她的机器装有恶意软件,通过 BayRob 恶意软件在她的设备上注入虚假列表。在猫捉老鼠的一个很好的例子中,联邦调查局和赛门铁克多年来耐心地等待网络犯罪分子犯错,最终在2016 年逮捕了他们。

威胁研究之恶意软件演变简史evolution of malware
图 3:用户在 CWS 周围寻求帮助的屏幕截图 (forums.bleepingcomputer.com)

从间谍软件到间谍与间谍以及民族国家网络武器的发现

2010:震网

进入 2010 年代是首次发现用于攻击工业控制服务 (ICS) 设备的民族国家恶意软件,特别是监控和数据采集设备 (SCADA)。Stuxnet 被证明是第一个针对关键基础设施的特定民族国家恶意软件——在这种情况下,工业离心机(特别是核),导致它们过度旋转并导致崩溃。Stuxnet 专门针对伊朗的组织,但很快传播到世界各地的其他 SCADA 系统。对 Stuxnet 恶意软件的分析表明,它并非针对伊朗,可以针对任何运行类似 ICS 设备的组织进行定制。2012 年,《纽约时报》的一篇文章证实美国和以色列开发了 Stuxnet。

2011:Regin

Regin 是一个高度模块化的远程访问木马 (RAT)。这使其具有高度的灵活性,可以适应目标环境。Regin 也很成功,因为它的操作非常无害。被泄露的文件通常保存在加密容器中。但不是存储在多个文件中,而是将所有内容保存在一个文件中,从而避免引起系统管理员或 AV 软件的怀疑。根据 Der Spiegel 的说法,Regin 是美国国家安全局的产物,旨在监视欧盟及其公民。该信息是通过爱德华·斯诺登( Edward Snowden )提供的臭名昭著的机密信息泄漏而披露的。

2012:Flame

Flame 被认为是发现时发现的最先进的恶意软件。它拥有一切——通过 LAN 网络传播的蠕虫般的能力,它可以记录和捕获屏幕截图和音频,它可以窃听和记录 Skype 对话,它可以将蓝牙工作站变成监听信标,然后可以泄露并将文件移动到其他信标,最终将文件发送到预定的 C2 服务器。Flame 主要针对中东的组织。

勒索软件现代时代的来临

2011/12:Reveton

Reveton 并不是互联网连接时代的第一个“勒索软件”。这种区别属于 GPCODE (2005) 和其他人。然而,Reveton 是现代勒索软件的原型,帮助建立了至今仍然存在的外观和感觉,包括无处不在的锁屏,它提供了所发生事件的详细信息、如何与坏人取得联系、如何支付赎金,以及如何解密文件等。

Reveton 还引起了很多媒体的关注,因为它具有由专业网络犯罪组织运营的所有特征。它不仅外观专业,而且使用模板,这又是第一次。锁定屏幕将根据地理位置

威胁研究之恶意软件演变简史evolution of malware
图 4:带有 MoneyPak 说明的 Reveton Ransom 屏幕
威胁研究之恶意软件演变简史evolution of malware
图 5:与前总统奥巴马形象的变化

2013 年:CryptoLocker – 加密货币作为支付选项的到来

CryptoLocker 是第一个要求通过比特币付款的勒索软件。解密的价格是两个 BTC,在 2013 年(取决于时间范围)在 13 美元到 1,100 美元之间,这让攻击者获得了一笔不小的数目。

威胁研究之恶意软件演变简史evolution of malware
图 6:CryptoLocker 比特币赎金需求

请记住,此时加密货币仍处于起步阶段,让非技术受害者不仅要付费,还要了解如何使用加密货币,这是一个需要克服的障碍。

2013:DarkSeoul 和 Lazarus

除了勒索软件,2013 年也迎来了国家发起的险恶攻击时代。2013 年 3 月 20 日,一次攻击被称为 DarkSeoul,针对韩国广播公司 SBS 和韩国的银行机构。这次攻击中使用的恶意软件 Jokra 以设备的主引导记录 (MBR) 为目标并覆盖了它们。互联网服务提供商、电信和 ATM 的许多用户也因网络离线而受到影响。这次袭击归咎于 Lazarus(朝鲜),该公司在 2014 年还针对索尼公司,泄露机密信息以回应嘲弄朝鲜领导人金正恩的电影《采访》。Lazarus 团队还与 2016 年针对孟加拉国银行的袭击有关。

威胁研究之恶意软件演变简史evolution of malware
图 7:DarkSeoul 攻击屏幕(图片来源 GIAC)

2015:浏览器储物柜和虚假技术支持诈骗 (BSOD)

虽然技术上不是恶意软件,但第一个技术支持诈骗和各种浏览器锁变体首次出现在 2015 年。这些滋扰攻击本质上是模仿勒索软件,让受害者要么恐慌,要么向在不同国家或地区充当技术支持的威胁参与者拨打支持号码,要么通过简单地支付加密货币来“清理”他们的系统。该计划在已被入侵的合法网站上部署了恶意 JavaScript。然后,此 JavaScript 将使浏览器无法运行,经常以全屏模式显示警告和要求(支付解锁费用、销售假冒补救软件或技术服务等)。该策略的其他变体是蓝屏死机 (BSOD) 显示,它看起来对受害者很有说服力,包括一个声称是 Microsoft 技术支持的免费电话号码,但实际上,它是外国呼叫中心的威胁参与者。然后,威胁行为者将试图说服受害者提供对其设备的远程访问以进行“修复”,之后他们将控制受害者的机器以执行进一步的恶意行为,同时对不存在的服务收取高昂的费用。

2016:第一个物联网僵尸网络到来

Mirai的到来让很多人感到惊讶。这是第一个针对物联网设备的僵尸网络。虽然它主要针对网络路由器,但也包括其他物联网设备。Mirai 主要是一个 DDoS 僵尸网络。并参与了对 Brian Krebs 网站 krebsonsecurity.com 的重大攻击。以及负责关闭大量互联网,破坏全球访问和服务

与传统的网络和最终用户设备不同,大多数物联网设备都没有维护。也就是说,它们不会像计算机或智能手机那样自动接收更新。相反,它们经常被忽视并且几乎不会更新,通常是因为更新需要刷新它们(意味着脱机,因此可以完全覆盖软件和固件),这可能会带来不便甚至灾难性,因为刷新的设备可能会变砖(意味着如果做错了,则永久无法使用。更糟糕的是,许多将物联网设备直接连接到互联网的人并没有更改他们的默认用户名和密码。Mirai 利用了这个漏洞,让它毫无困难地传播。Mirai 在某一时刻是如此多产,甚至连著名的密码学家Bruce Schneier认为这可能是一个民族国家的创造。

Mirai 不仅因其新颖性而备受瞩目,还因为它能够在如此短的时间内集结全球僵尸网络大军,使其能够将互联网流量从世界各地的受感染系统重定向到目标站点。这使得防御变得特别困难,因为流量的洪流来自四面八方。事实上,正如最近 FortiGuard Labs博客中所指出的那样,Mirai 的变体仍然存在并且正在发挥作用,部分原因是开发人员最终在网上发布了它的代码,供其他犯罪分子使用。

2017:ShadowBrokers (NSA)、WannaCry、Petya/NotPetya,未披露漏洞

美国国家安全局 (NSA) 的 ShadowBrokers 泄密史无前例且具有破坏性——不仅因为它揭示了美国政府最高层正在开发的秘密恶意软件,还因为威胁参与者有效地重新利用了已发布的工具和漏洞. 这些代号为“Fuzzbunch”的工具是美国国家安全局开发的一个漏洞利用框架。该框架的一部分包括称为 DoublePulsar 的恶意软件,这是一种包含臭名昭著的“EternalBlue”漏洞的后门攻击。EternalBlue 是 NSA 保留在其武器库中的零日漏洞利用,针对 Microsoft 的 SMB(服务器消息块)协议 (CVE-2017-0444)。

它后来被用来传播臭名昭著的WannaCry、Petya/NotPetya 勒索软件,造成了灾难性的后果。这些勒索软件变种的破坏性如此之大,以至于导致全球制造设施关闭。最初将此漏洞归咎于俄罗斯,但直到今天,没有人能够将 ShadowBrokers 黑客/泄漏归因于实体。

2017 年:加密货币挖矿

尽管与加密货币相关的威胁最初被归类为勒索软件或加密货币钱包盗窃,但 2018 年引入了一种前所未有的方法。XMRig 是为 Monero 加密货币编写的矿工应用程序,没有恶意。它通过利用机器上未使用的 CPU 周期来帮助解决加密货币挖掘中使用的各种数学问题。然而,网络团伙开始偷偷地将 XMRig 安装在受感染的机器和设备上,然后收集和汇总生成的数据以获取自己的加密利润。

各种犯罪攻击者利用的常见漏洞利用了 Apache Struts、Oracle Weblogic 和 Jenkins 服务器中的已知漏洞。结果,这些攻击被归入使用这些技术的组织,对攻击者来说最重要的是它们运行的​​设备的强大 CPU。这些漏洞也成为攻击目标,因为它们可以远程利用。雪上加霜的是,这些面向互联网的机器中的许多也不太可能通过粗心或懒惰进行修补,从而使威胁行为者可以利用它们获利。有关这些攻击如何运作的一些有趣的见解,请在此处参考我们 2018 年的博客。

在攻击中加入 XMRig 的各种活动还通过恶意 Android APK、docker 容器和针对 NPM(节点包管理器)的供应链攻击来针对移动设备,仅举几例。有关对 NPM 供应链的这些最新攻击的更多信息,请参阅我们 11 月的威胁信号,Cryptominer 和 Infostealer 通过被劫持的流行 NPM 库提供。

2019 年:GandCrab 和勒索软件即服务的出现

GandCrab 迎来了新一波浪潮,通过向大众提供勒索软件(收费),攻击的数量和毒力不断升级。GandCrab 试图做两件事:远离对组织的实际攻击并产生更多收入。它完善了被称为勒索软件即服务 (RaaS) 的商业模式。RaaS 为 GandCrab 的作者提供了在编写代码的同时让其他人执行实际违规行为的奢侈。在这个模型中,附属公司会做所有的脏活(侦察、横向移动、交付勒索软件、收钱等),而作者则留在后台并从中分一杯羹(估计他们收集了 25% 到 40 %) 的实际赎金

事实证明,这对双方来说都是有利可图的,因为作者不必冒险寻找和感染目标,附属公司也不必花时间尝试自己开发勒索软件。GandCrab 似乎也遵循了敏捷开发流程,只要作者认为合适,就会部署次要和主要版本。GandCrab 于 2019 年 6 月宣布退休,此前他们声称净赚了 20 亿美元,很可能是因为他们感受到了当局的压力。然而,GandCrab 的作者后来与 Sodonikibi 和 REvil 威胁参与者松散关联,最引人注目的是作为臭名昭著的 2021 年夏季对 Colonial Pipeline 的攻击的一部分。自 GandCrab 以来出现的其他值得注意的 RaaS 变体包括 BlackCat、Conti、DarkSide 和 Lockbit,仅举几例。

结论

从 1971 年到 2000 年初,恶意软件大多被归为恶作剧,病毒作者试图查看他们创建的东西是否有效。快进 20 多年,我们可以看到威胁格局已经从恶作剧演变为包括有利可图的网络犯罪和民族国家攻击。同样,最初的术语“病毒”演变为今天的包罗万象的“恶意软件”反映了过去 20 年威胁的演变。此类攻击的发展和变化与我们现在生活的超连接世界的发展相吻合,这并非巧合。

在我们踏上未来 25 年之际——展望威胁 75周年——我们只能假设威胁将继续针对任何流行或热门的技术或趋势。当然,预测未来 12 个月要容易得多,正如我们最近的“ 2022 年预测:明天的威胁将瞄准不断扩大的攻击面”博客中所讨论的那样。不过,有一点很清楚,最大的单一风险永远是人为因素

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。