经常走夜路的人,容易遇见鬼。
对监测网络安全威胁的人来说,遇见一两个掉节操的攻击者,这绝对是大概率事件。不过,让360 网络安全研究员李丰沛哭笑不得的是,最近有两个黑客节操掉到让人心疼,一时间他还难以在两者中评出高下。
要不……我们来看下这两个黑客的故事,再来投票。
居然替换矿工的“收费二维码”[出自:jiwo.org]
以前,雷锋网宅客频道(微信ID:letshome)给大家科普过,自从美国东部大断网后,规模更大的僵尸网络层出不穷。其中,规模大到吓人的一个是 Mirai 僵尸网络的一个变种,叫做 Satori,还有人又把这个 Satori 叫做 Okiru。
八卦一下,Satori 是日本禅宗用语,Okiru 也是一个日语发音,安全研究员们因此有个小小的猜想,这个僵尸网络的作者可能是个日本文化的痴迷者。
言归正传,本来安全研究员正在监测 Satori 的进展,因为 Satori 规模实在很大,大家对它的一举一动很关心,生怕沉寂的僵尸网络一下变得活跃,那么下一场大断网就不知道发生在哪里了。
大家很担心,于是各方联合绞杀,封堵 Satori 利用的网络端口。眼看着,Satori 感染的路由器速度降了下来,各方倍感欣慰。
不料,李丰沛等人最近突然发现:咦,Satori 这货最近要搞事啊!原来,他们监测到了一个 Satori 的变种:Satori.Coin.Robber。
看名字就知道,这个家伙跟偷东西有关。不过,它偷的竟是数字货币,让安全研究员都吃了一惊的是,这货的行为实在太掉节操——如果是黑了别人设备用来做挖矿,这种僵尸网络还是挺多的,但是靠黑别人的挖矿机器,把钱包地址改成自己的,这这这,看惯了黑产大千世界的李丰沛都觉得,闻所未闻啊!
这好比原先直接抢钱的,这回把商户的收费二维码变成自己的,回头别人付费时,钱流到了自己的口袋。
当然,你要说了,你凭什么说这个变种就是 Satori 的变种?
凡事讲证据。
原来,这两个僵尸网络的代码有一个共同特征:有一个对二进制的 UPX 加壳,使用了一个随机数,用随机数作为加壳的钥匙。李丰沛等人分析后,发现两个版本的代码的随机数是一模一样的。
“一般这个证据就已经很强了,再加上其他的辅助的证据,我们认为,这次的 Satori.Coin.Robber 和我们上次报告的 Satori 应该是同一个人或者同一伙人做的。”李对雷锋网(公众号:雷锋网)说。
这事还有个搞笑的后续。
李丰沛等人发表了该变种的报告后,在推特上转发了这次报告的内容。不料,这个报告里有一个邮件地址,这个邮件地址被 Satori.Coin.Robber 的作者留在了服务器控制信息端,作者还留下了这样的信息:盆友,你看到这段信息不要慌张,这次变种里没有恶意打包、发包的功能,也就是不会搞 DDoS,所以你要是有什么问题可以联系我,我留了一个邮件地址哦。
Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net .
这则推文发出去后,一个用户艾特了 360:“你看吧,都是你们,现在都已经有媒体开始发邮件问我到底是怎么回事呢,还有号称是PC Magazine的媒体记者发邮件给我。”
这个用户还专门提供了一个截图,表示自己受到了记者的骚扰。
为了防止网友给自己加戏,冒充作者联系360,李丰沛专门分析了邮件地址和邮件行文,与作者在代码中留下的邮件行文进行对比,最后终于确认,这个推特用户真的是 Satori 的变种以及 Satori 的作者!
不过,更搞笑的是,由于这个替换矿机钱包地址的变种被发现得太快, Satori.Coin.Robber 的生意并不太好,到目前为止,这个钱包地址只收到了一个 ETH 币。
看来,这个僵尸网络变种作者的发财梦要落空了。
戏精“爱国者”发表“真假”宣言
2016年,出现了一个与路由器漏洞有关的 BrickBot 的僵尸网络。这个僵尸网络真的能让设备变“僵尸”:利用一些已知的设备漏洞黑进去,把设备里面的文件删掉,删掉以后重启,然后设备肯定起不来了,里面的系统信息都被删掉,这个系统变砖了。
搞僵尸就搞僵尸,怎么还彻底把设备变砖呢?安全社区都对这个作者的动机好奇了,有人说,其实作者是希望通过让用户的设备变砖这种极端手段,让用户意识到它的设备有问题,最终给设备打上补丁,升级到一个比较安全的版本。
还有这么“好心”的僵尸作者?
李丰沛等人注意到这件事情是在2017年12月底,他们发现,这个僵尸网络的源代码在网上泄露了。
这就好玩了——一般这种源代码只有作者本人才知道,那么,很可能是作者自己放出来的。李等人一研究,发现这个变砖的路由器与 Satori 针对的某中国品牌路由器是同一系列。后来,他们又发现,BrickBot 的作者是想甩手不干,自此远离江湖,所以放出了源代码。
不过,让人感慨的是,该作者还写了一份隐退宣言,描述自己的心路历程。
下面,雷锋网提炼下该宣言的几个要点:
1.作者把自己定义成一个爱国者,并表示,他做这件事情是希望能通过自己的行动,使得供应链、消费者和整个监管机构都能够重视 IoT 的安全问题。
2.他公布了一个混淆后的源代码,该代码不能直接利用,但其中含有大量的弱口令、漏洞利用的攻击手段,别人可以使用这些攻击手段构建自己的僵尸网络。这意味着,作者给世界的各个角落又埋下了炸弹。
3.作者承认,有些攻击是自己做的,比如,去年 11 月的德国断网,他让设备变砖了。
但是,有意思的是,这个隐退宣言可能“真假参半”。对于前两者,基本上没什么疑问。但是对于第三点,作者承认做了的一些攻击却可能是为自己“加戏”。
2017 年 1 月,华盛顿特区有部分摄像头变砖,这件事情在美国影响比较大,因为华盛顿特区是美国首都,摄像头可以变砖,意味着摄像头可以用来看别人的东西。BrickBot 的作者就宣称——这是我让它们变砖的。
3月,他开始看 AVtech 和 Wi-Fi Cam 这两组设备,并暗示这些设备将影响机场和其它重要的基础设施,比如核武器的安全。2017 年 4 月,美国国土安全部(DHS)发了一个针对 BrickBot 作者该言论的警告。
作者本来觉得自己是好意,但却受到了自家政府的打脸和警告,“爱国心”碎成了渣,这也是他萌生退意的开始。
到了 2017 年夏天,作者持续升级自己的武器库,开始关注所谓的亚洲太平洋地区网络协调中心下面的网络,包括中国、印度、东南亚、澳大利亚、新西兰等国家。他说,自己让几十万台 BSNL 和 MTNL 的设备下线——剧情开始走向玄幻,李丰沛对这个数据是存疑的,因为他们没有监测到实际的数字。
作者又称,自己在印度弄出了很大的动静,也上了很多的新闻头条——但考虑到当时印度和中国在地缘政治上非常紧张,他“好心”地摆摆手:这件事跟这两个国家没关系,不要影响两国关系,都是我本人干的。
这个作者抖出了更多的料。
8月,他看到了一个名为 CVE-2017-7921 的漏洞,在分析这个漏洞的过程中,他发现海康威视有一个未公开漏洞(0day),这件事情把作者吓坏了——他有一个比较重要的观点,上一次的互联网大灾难是美国断网,离下一次的大灾难也就是一两个 0day 的距离。
BrickBot 的作者又开始了他的“好心”,花了差不多三周,把海康和大华约 100万个的摄像头弄失效了,大华和海康因为此事还发了公告,最终整个设备进行了固件升级。但戏精作者依然不满意,认为整个设备升级的过程比较混乱,所以他专门在Pastebin上发表了一篇文章给大华、海康等厂商参考。
至此,两个让人目瞪口呆的僵尸网络作者的故事结束。我们来投个票吧~
你觉得上述哪个僵尸网络作者更没有节操?
A.偷换钱包地址的 Satori.Coin.Robber 作者
B.“爱国心”爆棚的 BrickBot 作者
C.两人不相上下,推荐参加“戏精的诞生"