“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。
Code Red蠕虫能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于7月19日首次爆发,7月31日该病毒再度爆发,但由于大多数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏程度明显减弱
Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征:攻击IIS服务器,code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
“红色代码2”是“红色代码”的改良版,病毒作者对病毒体作了很多优化,同样可以对“红色代码”病毒可攻击的联网计算机发动进攻,但与“红色代码”不同的是,这种新变型不仅仅只对英文系统发动攻击,而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”,使得被攻击的机器“后门大开”。“红色代码2”拥有极强的可扩充性,通过程序自行完成的木马植入工作,使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时,病毒将强行重启计算机。
2004年:MyDoom蠕虫病毒出现
这是传播最快的电子邮件蠕虫病毒,超过了“我爱你”病毒。它是迄今为止最具破坏性的计算机病毒,已造成了几百亿美元的损失。
在Mytob之前,恶意软件业主要局限于那些出于恶作剧或纯粹的好奇心而创建恶意软件的狂热者。然而,Mytob变体改变了一切。
Mytob结合了蠕虫/后门/僵尸网络的功能,它是MyDoom的一个变种,是由创造Zotob蠕虫的同一位程序员创造的。Mytob通过两种方式感染受害者设备。它要么通过恶意附件的电子邮件到达,要么利用LSASS (MS04-011)协议或RCP-DCOM (MS04-012)中的漏洞,并使用远程代码执行。它还利用受害者的地址簿传播自己,并通过网络扫描搜索其他设备,看看它们是否可能被攻击。
Mytob是第一批通过阻止受害者的电脑连接到各种更新站点来专门阻止或对抗杀毒软件的病毒之一。这是通过将所有已知的供应商uri重定向到127.0.0.1(一个本地主机IP)来实现的。这导致所有面向公众的网站的查询都被解析到设备本身。
Mytob迄今为止还在活跃,并名列有史以来威胁最大的恶意软件前10位。它有许多具有不同功能的变种,反病毒公司经常将.Mytob文件列入黑名单来随时监测。
Zotob变体使用了Mytob源代码,并加入了MS05-039,这是Windows 2000的微软即插即用中的一个缓冲区溢出漏洞。Zotob使用这种变体扫描易受MS05-039攻击的设备以进一步传播。该病毒通过MS05-039漏洞和MS04-007漏洞,以及邮件进行传播。病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网路防火墙关闭445连线埠,以阻止攻击。用户一旦感染该病毒,就会通过IRC被病毒传播者控制。该病毒还会禁止用户更新安全软体。Mytob和Zotob变种具有令人难以置信的破坏性,总共摧毁了100个组织的运作。
CoolWebSearch,通常被称为“CWS”,是第一个劫持谷歌搜索结果的攻击活动,攻击者将伪装的搜索结果代替搜索结果。这是为了窃取谷歌的点击量。CWS通常是通过驱动下载或广告软件程序来分发的。它是如此的普遍和难以清除,以至于志愿者们开发了程序和管理网络论坛来帮助免费清除CWS感染。CWS Shredder是CoolWebSearch受害者广泛使用的几个程序之一,用来帮助修复他们的设备。
几年后,也就是2007年,又发生了一起类似的攻击。它使用了一种劫持eBay搜索结果的变体。俄亥俄州的一名妇女花了几千美元买了一辆车,但车却没来。当局后来确定,这辆车从未被列入待售名单,而且她的设备上有恶意软件,通过BayRob恶意软件将虚假信息注入她的设备。美国联邦调查局(FBI)和赛门铁克(Symantec)多年来耐心地收集证据,最终在2016年将他们逮捕。
CWS周围的用户寻求帮助的截图(forums.bleepingcomputer.com)
震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。Stuxnet专门针对伊朗的组织,但很快蔓延到世界各地的其他SCADA系统。对Stuxnet恶意软件的分析强调,它不是针对伊朗的,可以针对任何运行类似ICS设备的组织。2012年,《纽约时报》的一篇文章证实,美国和以色列开发了Stuxnet病毒。与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。
由于它的打击对象是全球各地的重要目标,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。
无需借助网络连接进行传播。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件,并且代替其对工厂其他电脑“发号施令”。
极具毒性和破坏力。“震网”代码非常精密,主要有两个功能,一是使伊朗的离心机运行失控,二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在2011年2月的攻击中,伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。
“震网”定向明确,具有精确制导的“网络导弹”能力。它是专门针对工业控制系统编写的恶意病毒,能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击,不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害目标。
Regin是一个高度模块化的远程访问木马(RAT)。自2008年起,一款名为Regin的先进恶意软件就已经被用于针对许多跨国目标的系统性间谍活动中。Regin是一款复杂的后门木马恶意软件,其结构设计具有罕见的技术能力。根据攻击目标,Regin具有高度可定制化功能,能够使攻击者通过强大的框架进行大规模监视,并且已经被用于监视政府机关、基础设施运营商、企业、研究机构甚至针对个人的间谍活动中。
Regin的开发者投入了大量的心思来隐匿其行踪,这款恶意软件的开发时间就算不耗费数年,也可能耗费数月时间来完成。Regin强大的功能和其背后支撑的强大资源说明,这是一款国家级使用的重要网络间谍工具。
这使得它非常灵活,能够适应目标环境。Regin的成功还因为它的运作是无害的。被盗窃的文件通常保存在一个加密的容器中。但所有文件都保存在一个文件中,而不是存储在多个文件中,从而避免引起系统管理员或反病毒软件的怀疑。
Flame被认为是当时发现的最先进的恶意软件,它功能齐全,像蠕虫一样可以通过局域网传播,它可以记录和捕捉屏幕截图和音频,它可以窃听和记录Skype的对话,它可以把蓝牙工作站变成监听信标,然后可以将文件转移到其他信标,最终将文件发送到预定的C2服务器。Flame攻击主要针对中东地区的组织。
准确地说,Reveton并不是互联网时代的第一个“勒索软件”。然而,Reveton 是现代勒索软件的原型,它基本包含现代勒索软件的全部要素,比如锁屏,支付赎金,解密文件等。
另外,Reveton还具备由专业攻击组织运营的所有特征。它不仅在外观上很专业,而且还第一次使用了模板。锁屏将根据地理位置向用户显示不同的内容,并向受害者显示当地执法机构的信息,以及如何付款的说明。
带有 MoneyPak 说明的 Reveton Ransom 屏幕
CryptoLocker是第一个要求通过比特币支付的勒索软件。解密的价格是两个比特币,2013年的价格在13美元到1100美元之间。
CryptoLocker的比特币赎金
请记住,当时加密货币还处于起步阶段,让非技术受害者不仅支付,而且了解如何使用加密货币是一个需要克服的障碍。
除了勒索软件,2013年还迎来了由国家支持的邪恶攻击的时代。2013年3月20日,被称为“黑暗首尔”(DarkSeoul)的攻击针对的是韩国SBS电视台和韩国的银行机构。在这次攻击中使用的是恶意软件Jokra,针对设备的主引导记录(MBR)并覆盖它们。许多互联网服务提供商、电信公司和自动取款机的用户也受到了影响,因为他们的网络被切断了。这是2014年索尼公司因电影《采访》(The Interview)而遭到黑客攻击的“拉撒路”(Lazarus)所为。Lazarus组织还与2016年针对孟加拉国银行的攻击有关。他们试图窃取9.51亿美元,但最终只获得了8100万美元。
DarkSeoul攻击画面
2015年:Browser Locker和伪造技术支持诈骗(BSOD)
虽然从技术层面来说,这并不是恶意软件,但第一个技术支持骗局和各种浏览器锁变种最早出现在2015年。这些骚扰性攻击实质上是模仿勒索软件,通过引起受害者恐慌,并拨打支持号码给在不同国家扮演技术支持角色的攻击者,或通过支付加密货币来“清理”他们的系统。该方案在已被攻击的合法网站上部署了恶意JavaScript。这个JavaScript将导致浏览器无法运行,经常以全屏模式显示警告和要求(支付解锁费,出售虚假的修复软件或技术服务,等等)。这一策略的其他变体是蓝屏死机(BSOD)显示,这对受害者来说看起来很有说服力,包括一个声称是微软技术支持的免费电话号码,但实际上,它是一个攻击者在国外的呼叫中心。然后,攻击者会试图说服受害者提供对其设备的远程访问以进行“修复”,之后,他们会控制受害者的设备进行进一步的恶意行为,同时对不存在的服务收取过高的费用。
2016年:第一个物联网僵尸网络
Mirai是第一个以物联网设备为目标的僵尸网络,虽然它主要针对网络路由器,但也包括其他物联网设备。Mirai主要是一个DDoS僵尸网络。并参与了对Brian Krebs网站krebsonsecurity.com的重大攻击。以及负责关闭大量互联网,破坏全球访问和服务。
与传统的网络和终端用户设备不同,大多数物联网设备不需要维护。也就是说,它们不像电脑或智能手机那样自动接收更新信息。相反,它们经常被忽视,几乎从未被更新,通常是因为更新需要刷新它们(意味着脱机,因此可以完全覆盖软件和固件),这可能是不方便的,甚至是灾难性的,因为刷新的设备可能会无法正常使用。更糟糕的是,许多将物联网设备直接连接到互联网的人并没有更改他们的默认用户名和密码。Mirai 利用了这个漏洞,让它毫无困难地传播。Mirai之所以能引起人们关注,不仅是因为它新颖,还因为它能够在如此短的时间内聚集全球僵尸网络大军,使其能够将全球受感染系统的互联网流量重定向到目标网站。这使得它特别难以防御。
美国国家安全局(NSA)的“ShadowBroker”事件是前所未有的,具有毁灭性的,不仅因为它揭露了美国政府最高层正在开发的秘密恶意软件,还因为攻击者有效地重新利用了被发布的工具和漏洞。这些工具,代号为" Fuzzbunch "是国安局开发的一个利用框架。该框架的一部分包括名为DoublePulsar的恶意软件,这是一种后门攻击,包含了臭名昭著的“永恒之蓝”漏洞。“永恒之蓝”是美国国家安全局保存的一个零日漏洞,其目标是微软的SMB(服务器消息块)协议(CVE-2017-0444)。
它后来被用来传播臭名昭著的WannaCry, Petya/NotPetya勒索软件,造成了灾难性的后果。这些勒索软件的变种是如此具有破坏性,以至于它们导致了世界各地的制造工厂的关闭。
尽管加密货币相关的威胁最初被归为勒索软件或加密货币钱包盗窃,但2018年引入了一种以前从未见过的方法。XMRig是一个为Monero加密货币编写的矿工应用程序,起初并没有恶意。它的工作原理是利用设备上未使用的CPU周期来帮助解决加密货币挖掘中使用的各种数学问题。然而,攻击者开始偷偷地在被攻击的设备和设备上安装XMRig,然后收集数据。
各种攻击者所利用的常见漏洞利用了Apache Struts、Oracle Weblogic和Jenkins服务器中的已知漏洞。这些漏洞之所以成为目标,还因为它们可以远程利用。更糟糕的是,许多这些面向互联网的设备也不太可能被修补,可能是因为粗心或懒惰,从而让攻击者利用它们牟利。将XMRig纳入攻击的各种活动还通过恶意的Android APK、docker容器和针对NPM(节点包管理器)的供应链攻击等方式针对移动设备。
2019年:GandCrab和勒索软件作为一种服务出现
GandCrab通过向大众提供收费的勒索软件,掀起了新一轮的攻击浪潮,升级了攻击的数量和攻击的影响力。GandCrab试图做两件事:远离对组织的实际攻击,创造更多的收入。它完善了被称为“Ransomware-as-a-Service (RaaS)”的商业模式。RaaS让GandCrab的开发者们共享自己的成果。然后他们从中抽取实际赎金的25%到40%。
事实证明,这对双方来说都是有利可图的,因为开发者不必承担寻找和感染目标的风险,而使用机构也不必自己花时间开发勒索软件。GandCrab后来在2019年6月宣布停产,声称自己净赚了20亿美元,很可能是因为他们感受到了当局的压力。然而,GandCrab的开发者后来与Sodonikibi和REvil攻击者又联系在一起,自GandCrab以来出现的其他值得注意的RaaS变体有BlackCat、Conti、DarkSide和Lockbit等。
从1971年到2000年初,恶意软件主要是由病毒开发者进行的恶作剧和尝试,看看他们创造的东西是否能工作。近20多年,我们可以看到攻击已经从恶作剧演变为包括有利可图的攻击和国家支持的攻击。同样地,术语由最初的“病毒”变成了现在的“恶意软件”。
参考及来源:https://www.fortinet.com/blog/threat-research/evolution-of-malware