第261 全球病毒危機(2/2)
燕京時間2月2日10時,春秋安全管家團隊在魏東生領導下「解析」了比特幣勒索病毒的感染機制和特徵。春秋安全管家沒有秘而藏之,即時選擇無條件向社會公布,魏東生也第一時間以itm身份把相關資料轉帖到游進粱的白帽子黑客群。
春秋安全管家的資料,頓時在白帽子黑客群引起轟動。
因為,比特幣勒索病毒太特殊了。
與之前的木馬病毒相比,比特幣勒索病毒有了量變到質變的飛躍,簡直是木馬病毒行業的科技革命。
模塊化!
模塊化一詞,形象形容了比特幣勒索病毒的特徵。
回顧木馬病毒行業的進步史,2007年之後,木馬病毒製造漸趨模塊化、批量化。這裡的模塊化是指模塊化編寫,就是把功能齊全的病毒拆分為不同的功能模塊,病毒釋放器、病毒下載器、木馬病毒、後門程序等,合併成為超級病毒組合。為了與殺毒軟體對抗,病毒還會加載攻擊殺毒軟體的模塊。木馬病毒製造者從此越來越專業,一名黑客不必費時費力寫所有模塊的代碼,只需要搞定最核心的模塊,其它功能模塊都可購買同行的優秀產品,組裝式生產病毒。這樣的病毒製造,就像組裝工廠的流水線,效率極高。
魏東生版本的比特幣勒索病毒,模塊化程度更高,批量製造難度更低。
比特幣勒索病毒簡單分為感染攻擊模塊、病毒模塊、後門模塊等。
其中感染攻擊模塊針對windows、unix、linux、macos等系統漏洞,魏東生版比特幣勒索病毒最強大的地方是模塊集成度非常高且有一定的智慧處理能力,感染模塊的漏洞不但允許使用者自由刪除,更有一套漏洞編輯模版,允許使用者上傳自己發現的新漏洞。也即是說,比特幣勒索病毒或者說它的本體永恆之紅工具,允許同時利用數十條漏洞傳染攻擊。如果某條漏洞被windows等系統補丁堵死,使用者亦可刪除這條無用的漏洞,上傳其它有效的漏洞。
病毒模塊是比特幣勒索病毒的本體,負責加密文件等等。永恆之紅工具仍舊允許使用者自由刪改,如果不想搞比特幣勒索,完全可以刪除了事。使用者或者在病毒模塊添加新病毒,或者在後門程序模塊添加新木馬,比特幣勒索病毒立刻搖身一變成為ns窺視器、無公害感染源、偽裝搜索者、網友盜號木馬等木馬病毒。
與其說比特幣勒索病毒是一款病毒,不如說它是木馬病毒製造流水線、木馬病毒編輯工具、木馬病毒製造一條龍。
知曉永恆之紅的本質,白帽子黑客群紛紛冷吸一口氣。
極少在群里發言的游進粱,也忍不住驚嘆:「病毒工廠!」
游進粱沒有高估永恆之紅的危害。
形象比喻,舊式病毒進攻時常常單兵作戰,或者步槍,或者機槍,或者火力壓制,或者坦克衝鋒;而永恆之紅工具,它能模塊化集中利用截然不同的漏洞,仿佛步兵、炮兵、裝甲車、飛機、飛彈一起聯合進攻,乃是令尋常殺毒軟體和防火牆都措手不及的軍團作戰。永恆之紅工具的軍團作戰思路,意味著防禦的安全體系只要出現一絲漏洞就能被永恆之紅攻陷;永恆之紅工具的高自由度編輯,意味著它的變種將會無窮無盡;永恆之紅工具的模板化編輯輔助,意味著黑客門檻大幅度降低,比特幣勒索病毒的新變種出現速度勢必快到不可思議。
燕京時間2月2日12時,網際網路出現實驗型的比特幣勒索病毒變種,該變種病毒入侵電腦之後,利用用戶的電腦挖礦比特幣。
燕京時間2月2日14時,世界各國批量湧現各種各樣的變種比特幣勒索病毒。嗯,此時或許應該稱呼他們為變種永恆之紅病毒。因為許多嶄新的變種病毒,製造者或許不認同比特幣的貨幣屬性或許嫌棄比特幣的價值較低,紛紛卸載了比特幣勒索病毒wannacry_enhanced模塊,改頭換面加載了他們私人中意的病毒模塊。
與此同時,魏東生竊取自nsa的黑客工具包,許多非技術優先的大型網站或許因為時間比較緊張,沒有及時補上漏洞。某些黑客遂利用永恆之紅工具集成了復仇者組織公布的最新漏洞,一舉侵入大型網站,直接在網站上植入病毒木馬,導致信任該大型網站的瀏覽用戶成批成為受害者。
至此,全球病毒危機爆發,網際網路上到處都是木馬病毒。