盤點11場最具里程碑意義的惡意軟件攻擊
幾十年來,出于險惡或不知名原因傳播的病毒和其他惡意軟件一直是賽博朋克(cyberpunk)小說和現實新聞報道的主要內容。事實上,早在“因特網”(internet)概念出現之前,計算機病毒就已經存在其中。
本文將著眼于惡意軟件演變過程中的一些最重要的里程碑:這些條目中的每一個都代表了一個新穎的想法;一個揭示了重大安全漏洞的巨大突破;或者一個變得特別具有破壞性的攻擊。
1. 爬行者病毒Creeper virus(1971)
計算機先驅約翰·馮·諾依曼(John von Neumann)于1966年發表的遺作《自我復制自動機理論》(Theory of Self-Reproducing Automata),提出了計算機代碼可以自我復制和傳播的想法。5年后,第一個已知的計算機病毒Creeper問世。它是Bob Thomas用PDP-10匯編語言編寫的病毒,可以自我復制,并在新生的ARPANET(阿帕網,互聯網的前身)中從一臺計算機移動到另一臺計算機。
Creeper對它所感染的系統沒有任何傷害——Thomas將其開發為一個概念驗證,它唯一的效果就是會導致連接的電傳打字機打印一條消息,上面寫著“我是CREEPER:如果你有能力的話就來抓我!”盡管它是良性的,但我們仍將其納入名單,因為它是第一個已知的計算機病毒,并為隨后的所有惡意軟件建立了模板。在Creeper問世后不久,以實現第一個電子郵件程序而聞名的Ray Tomlinson編寫了一個名為Reaper的競爭程序,該程序能夠在計算機之間傳播,并消除Creeper的代碼。
2. Brain virus(1986)
Creeper旨在跨越計算機網絡,但在上世紀70年代和80年代的大部分時間里,感染媒介是有限的,因為大多數計算機都是孤立運行的。在這一代病毒中,最重要的可能是一種于1986年開始在全球傳播的“Brain”病毒。
Brain是由計算機程序員Amjad和Basit Farooq Alvi(倆兄弟)開發的,他們住在巴基斯坦,經營著一家銷售醫療軟件的公司。由于他們的程序經常遭到盜版困擾,為此他們制造了一種病毒,以感染盜版磁盤的啟動扇區(boot sector)。該病毒大多是無害的,但其中包含他們的聯系方式和“消毒”軟件提議。
他們是否真的能“解決”這個問題尚不清楚,但正如他們在25年后解釋的那樣,他們很快就開始接到來自世界各地的電話,并對Brain傳播的速度和范圍感到震驚。今天,Brain被廣泛認為是第一個IBM PC病毒,因此盡管它是良性的,但我們仍將其列入我們的名單。值得一提的是,兄弟倆仍然保留著與25年前相同的地址和電話號碼。
3. 莫里斯蠕蟲Morris worm(1988)
1988年出現了一種名為Morris的惡意軟件,它可能創造了多項歷史第一。它是第一個廣泛傳播的計算機蠕蟲,這意味著它可以在不需要其他程序的情況下進行自我復制;它針對多個漏洞,以幫助其傳播得更快、更遠。雖然并非旨在造成傷害,但它可能是第一個造成真正實質性經濟損失的惡意軟件;它以驚人的速度傳播——在發布后的24小時內,它感染了10%的聯網計算機——并在每臺計算機上創建了多個自身副本,導致其中許多計算機停止運行。對攻擊成本的估計高達數百萬。
該蠕蟲以其創建者羅伯特·莫里斯(Robert Morris)的名字命名,他當時是康奈爾大學的一名研究生,這意味著它是一種概念驗證和廣泛安全漏洞的演示。Morris沒有預料到它會傳播得如此之快,或者它多次感染單個計算機的能力會造成如此大的麻煩,他試圖幫助挽回損失,但為時已晚。他也成為第一個根據1986年《計算機欺詐和濫用法案》被定罪的人。
4. ILOVEYOU 蠕蟲(2000)
與上述提及的惡意軟件創建者不同,2000年,時年24歲并居住在菲律賓的Onel de Guzman以直接的犯罪意圖制作了他的作品:他買不起撥號服務,因此他制造了一個蠕蟲病毒來竊取他人的密碼,這樣他就可以蹭用他們的帳戶。
該惡意軟件非常巧妙地利用了Windows 95中的許多缺陷——尤其是Windows自動隱藏電子郵件附件的文件擴展名——因此人們沒有意識到他們正在啟動可執行文件這一事實。這也導致它像野火一樣傳播開來,很快地,數百萬計算機設備紛紛中招。它還刪除了目標計算機上的大量文件,造成了數百萬美元的損失,并短暫關閉了英國議會的計算機系統。
de Guzman從未被指控犯罪,因為他所做的一切在當時的菲律賓并不屬于違法行為。在20年后的一次采訪中,他遺憾地表示自己并未打算讓惡意軟件傳播得這么遠。如今的de Guzman已經成為社會工程領域的先驅。該蠕蟲之所以得名,是因為它通過主題行中帶有“ILOVEYOU”的電子郵件傳播。de Guzman解釋稱,“我發現很多人都想要一個男朋友,他們想要彼此,他們想要愛,所以我便在郵件主題行中加入‘ILOVEYOU’吸引受害者”。
5. Mydoom蠕蟲(2004)
時至今日,Mydoom可能已有將近20年的歷史了,但迄今仍保持著諸多記錄。Mydoom蠕蟲通過電子郵件感染計算機,然后控制受害計算機通過電子郵件發送更多自身的副本,并且這樣做非常有效,以至于在其鼎盛時期,它占全球發送的所有電子郵件的四分之一,這是一項從未被超越的壯舉。此次感染最終造成了超過350億美元的損失,根據通貨膨脹進行調整,這一數字也從未被超越過。
Mydoom的創造者和最終目的今天仍然是個謎。除了郵寄蠕蟲的副本外,受感染的計算機還被用作僵尸網絡,對SCO集團(一家積極試圖聲稱對Linux擁有知識產權的公司)和微軟發起DDoS攻擊,這導致許多人懷疑其創造者是一些流氓開源社區的成員。但沒有任何具體的證據予以證明。
6. 宙斯木馬Zeus trojan(2007)
Zeus于2007年首次被發現,當時正值Web 1.0時代的尾聲,但它為未來的惡意軟件指明了方向。通過網絡釣魚和從受感染網站的路過式下載(drive-by download)進行感染的木馬不僅僅是一種攻擊者;相反地,它還可以充當各種惡意負載的載體。它的源代碼和操作手冊于2011年泄露,這對安全研究人員和想要利用其功能的犯罪分子都非常有用。
您可能經常會聽到Zeus被稱為“銀行木馬”,因為這正是它的變種所專注的領域。例如,2014年的變體設法將自己插入用戶和他們的銀行網站之間,攔截密碼、擊鍵等。不過,Zeus所涉領域并非僅銀行領域,還有另一個變體竊取了Salesforce.com的信息。
7. CryptoLocker 勒索軟件(2013)
Zeus還可以用來創建受控計算機的僵尸網絡,這些計算機被保留用于后續的惡意目的。一個名為Gameover Zeus的僵尸網絡控制者用CryptoLocker感染了他們的機器人,CryptoLocker是勒索軟件的最早著名版本之一。
CryptoLocker因其快速傳播和強大的非對稱加密而聞名,在當時非常難以破解。助力它聞名的因素還包括:2014年,美國司法部和海外同行成功控制了Gameover Zeus僵尸網絡,并免費恢復了CryptoLocker受害者的檔案。不幸的是,CryptoLocker也能通過良好的老式網絡釣魚傳播,并且變種至今仍然存在。
8. Emotet木馬(2014)
Emotet是另一種惡意軟件,其功能在它保持活躍的幾年中發生了很多變化。事實上,Emotet是所謂的多態(polymorphic)惡意軟件的一個典型例子,它的代碼每次被訪問時都會略有變化,以更好地避免被端點安全程序識別。Emotet是一種木馬,與此列表中的其他惡意程序一樣,主要通過網絡釣魚進行傳播(所以我們反復強調:不要打開未知的電子郵件附件)。
Emotet于2014年首次出現,但與Zeus一樣,現在是一個模塊化程序,最常用于傳遞其他形式的惡意軟件,其中Trickster和Ryuk是兩個突出的例子。Emotet非常狡猾且高效,以至于德國聯邦信息安全辦公室負責人Arne Schoenbohm稱其為“惡意軟件之王”。
9. Mirai僵尸網絡(2016)
到目前為止,我們一直在討論的所有病毒和其他惡意軟件都困擾著我們所認為的“計算機”——我們用于工作和娛樂的個人電腦和筆記本電腦。但進入21世紀,數以百萬計的設備的計算能力已經遠遠超出了Creeper可能感染的任何設備。這些物聯網(IoT)設備無所不在且屢遭忽視,而且往往多年未打補丁。
Mirai僵尸網絡實際上與我們討論的一些早期惡意軟件相似,因為它利用了一個前所未知的漏洞,造成的破壞遠遠超過其創建者的預期。在這種情況下,惡意軟件發現并接管了未更改默認密碼的物聯網設備(主要是閉路電視攝像機)。創建Mirai惡意軟件的大學生Paras Jha原本打算使用他創建的僵尸網絡對《我的世界》(Minecraft)托管服務器進行DoS攻擊,以解決自己在該游戲中遇到的難題。但他卻意外發動了針對主要DNS提供商的DoS攻擊,結果導致一天之內美國東海岸的大部分地區網絡癱瘓。
10. Petya勒索軟件/NotPetya擦試器(2016/7)
被稱為Petra的勒索軟件木馬于2016年開始席卷全球計算機設備。雖然它有一個巧妙的機制來鎖定受害者的數據——它加密了操作系統用來查找文件的主文件表——但它通過傳統的網絡釣魚詐騙傳播,這一點降低了它的致命性。
如果不是第二年發生的事情,Petra很可能早已被遺忘在歷史長河中。2017年,出現了一種新的自我復制蠕蟲變種,它利用NSA泄露的EternalBlue和EternalRomance漏洞在計算機之間傳播。被稱為NotPetya的新變種最初通過流行的烏克蘭會計軟件包中的后門分發,并迅速在整個歐洲造成嚴重破壞。最糟糕的是,雖然NotPetya看起來仍然像勒索軟件,但它實際上是一個完全旨在破壞計算機的擦試器(wiper)。除了自身造成的巨大破壞外,NotPetya也因證實了國家資助的黑客與網絡犯罪黑客團體之間的共生關系而在這份名單上占有一席之地。
11. Clop 勒索軟件(2019-至今)
Clop(有時寫成Cl0p)是另一種勒索軟件變體,于2019年在野發現,并且自那以后開始變得越來越流行,以至于它被稱為“2022年的頂級惡意軟件威脅之一”。除了阻止受害者訪問他們的數據外,Clop還允許攻擊者滲漏這些數據。
然而,造成Clop如此有趣且危險的原因不在于它是如何部署的,而在于由誰來部署。它處于“勒索軟件即服務”(Ransomware-as-a-Service,RaaS)趨勢的最前沿,在這種趨勢中,一群專業的黑客為愿意支付足夠費用(或分享他們從受害者處榨取的部分勒索軟件贖金)的人做所有的工作。
如果說,以前的惡意軟件主要由互聯網愛好者和“獨狼”貢獻。那么如今,網絡犯罪在很大程度上已經成為政府和專業人士的領域。
參考及來源:https://www.csoonline.com/article/3663051/11-infamous-malware-attacks-the-first-and-the-worst.html
