經(jīng)常走夜路的人，容易遇見(jiàn)鬼。

對(duì)監(jiān)測(cè)網(wǎng)絡(luò)安全威脅的人來(lái)說(shuō)，遇見(jiàn)一兩個(gè)掉節(jié)操的攻擊者，這絕對(duì)是大概率事件。不過(guò)，讓360 網(wǎng)絡(luò)安全研究員李豐沛哭笑不得的是，最近有兩個(gè)黑客節(jié)操掉到讓人心疼，一時(shí)間他還難以在兩者中評(píng)出高下。

要不……我們來(lái)看下這兩個(gè)黑客的故事，再來(lái)投票。

居然替換礦工的“收費(fèi)二維碼”

以前，雷鋒網(wǎng)宅客頻道（微信ID：letshome）給大家科普過(guò)，自從美國(guó)東部大斷網(wǎng)后，規(guī)模更大的僵尸網(wǎng)絡(luò)層出不窮。其中，規(guī)模大到嚇人的一個(gè)是 Mirai 僵尸網(wǎng)絡(luò)的一個(gè)變種，叫做 Satori，還有人又把這個(gè) Satori 叫做 Okiru。

八卦一下，Satori 是日本禪宗用語(yǔ)，Okiru 也是一個(gè)日語(yǔ)發(fā)音，安全研究員們因此有個(gè)小小的猜想，這個(gè)僵尸網(wǎng)絡(luò)的作者可能是個(gè)日本文化的癡迷者。

言歸正傳，本來(lái)安全研究員正在監(jiān)測(cè) Satori 的進(jìn)展，因?yàn)?Satori 規(guī)模實(shí)在很大，大家對(duì)它的一舉一動(dòng)很關(guān)心，生怕沉寂的僵尸網(wǎng)絡(luò)一下變得活躍，那么下一場(chǎng)大斷網(wǎng)就不知道發(fā)生在哪里了。

大家很擔(dān)心，于是各方聯(lián)合絞殺，封堵 Satori 利用的網(wǎng)絡(luò)端口。眼看著，Satori 感染的路由器速度降了下來(lái)，各方倍感欣慰。

不料，李豐沛等人最近突然發(fā)現(xiàn)：咦，Satori 這貨最近要搞事?。≡瓉?lái)，他們監(jiān)測(cè)到了一個(gè) Satori 的變種：Satori.Coin.Robber。

看名字就知道，這個(gè)家伙跟偷東西有關(guān)。不過(guò)，它偷的竟是數(shù)字貨幣，讓安全研究員都吃了一驚的是，這貨的行為實(shí)在太掉節(jié)操——如果是黑了別人設(shè)備用來(lái)做挖礦，這種僵尸網(wǎng)絡(luò)還是挺多的，但是靠黑別人的挖礦機(jī)器，把錢包地址改成自己的，這這這，看慣了黑產(chǎn)大千世界的李豐沛都覺(jué)得，聞所未聞??！

這好比原先直接搶錢的，這回把商戶的收費(fèi)二維碼變成自己的，回頭別人付費(fèi)時(shí)，錢流到了自己的口袋。

當(dāng)然，你要說(shuō)了，你憑什么說(shuō)這個(gè)變種就是 Satori 的變種？

凡事講證據(jù)。

原來(lái)，這兩個(gè)僵尸網(wǎng)絡(luò)的代碼有一個(gè)共同特征：有一個(gè)對(duì)二進(jìn)制的 UPX 加殼，使用了一個(gè)隨機(jī)數(shù)，用隨機(jī)數(shù)作為加殼的鑰匙。李豐沛等人分析后，發(fā)現(xiàn)兩個(gè)版本的代碼的隨機(jī)數(shù)是一模一樣的。

“一般這個(gè)證據(jù)就已經(jīng)很強(qiáng)了，再加上其他的輔助的證據(jù)，我們認(rèn)為，這次的 Satori.Coin.Robber 和我們上次報(bào)告的 Satori 應(yīng)該是同一個(gè)人或者同一伙人做的?！崩顚?duì)雷鋒網(wǎng)說(shuō)。

這事還有個(gè)搞笑的后續(xù)。

李豐沛等人發(fā)表了該變種的報(bào)告后，在推特上轉(zhuǎn)發(fā)了這次報(bào)告的內(nèi)容。不料，這個(gè)報(bào)告里有一個(gè)郵件地址，這個(gè)郵件地址被 Satori.Coin.Robber 的作者留在了服務(wù)器控制信息端，作者還留下了這樣的信息：盆友，你看到這段信息不要慌張，這次變種里沒(méi)有惡意打包、發(fā)包的功能，也就是不會(huì)搞 DDoS，所以你要是有什么問(wèn)題可以聯(lián)系我，我留了一個(gè)郵件地址哦。

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net .

這則推文發(fā)出去后，一個(gè)用戶艾特了 360：“你看吧，都是你們，現(xiàn)在都已經(jīng)有媒體開(kāi)始發(fā)郵件問(wèn)我到底是怎么回事呢，還有號(hào)稱是PC Magazine的媒體記者發(fā)郵件給我?！?/strong>

這個(gè)用戶還專門提供了一個(gè)截圖，表示自己受到了記者的騷擾。

為了防止網(wǎng)友給自己加戲，冒充作者聯(lián)系360，李豐沛專門分析了郵件地址和郵件行文，與作者在代碼中留下的郵件行文進(jìn)行對(duì)比，最后終于確認(rèn)，這個(gè)推特用戶真的是  Satori 的變種以及 Satori 的作者！

不過(guò)，更搞笑的是，由于這個(gè)替換礦機(jī)錢包地址的變種被發(fā)現(xiàn)得太快， Satori.Coin.Robber 的生意并不太好，到目前為止，這個(gè)錢包地址只收到了一個(gè) ETH 幣。

看來(lái)，這個(gè)僵尸網(wǎng)絡(luò)變種作者的發(fā)財(cái)夢(mèng)要落空了。

戲精“愛(ài)國(guó)者”發(fā)表“真假”宣言

2016年，出現(xiàn)了一個(gè)與路由器漏洞有關(guān)的 BrickBot 的僵尸網(wǎng)絡(luò)。這個(gè)僵尸網(wǎng)絡(luò)真的能讓設(shè)備變“僵尸”：利用一些已知的設(shè)備漏洞黑進(jìn)去，把設(shè)備里面的文件刪掉，刪掉以后重啟，然后設(shè)備肯定起不來(lái)了，里面的系統(tǒng)信息都被刪掉，這個(gè)系統(tǒng)變磚了。

搞僵尸就搞僵尸，怎么還徹底把設(shè)備變磚呢？安全社區(qū)都對(duì)這個(gè)作者的動(dòng)機(jī)好奇了，有人說(shuō)，其實(shí)作者是希望通過(guò)讓用戶的設(shè)備變磚這種極端手段，讓用戶意識(shí)到它的設(shè)備有問(wèn)題，最終給設(shè)備打上補(bǔ)丁，升級(jí)到一個(gè)比較安全的版本。

還有這么“好心”的僵尸作者？

李豐沛等人注意到這件事情是在2017年12月底，他們發(fā)現(xiàn)，這個(gè)僵尸網(wǎng)絡(luò)的源代碼在網(wǎng)上泄露了。

這就好玩了——一般這種源代碼只有作者本人才知道，那么，很可能是作者自己放出來(lái)的。李等人一研究，發(fā)現(xiàn)這個(gè)變磚的路由器與 Satori  針對(duì)的某中國(guó)品牌路由器是同一系列。后來(lái)，他們又發(fā)現(xiàn)，BrickBot 的作者是想甩手不干，自此遠(yuǎn)離江湖，所以放出了源代碼。

不過(guò)，讓人感慨的是，該作者還寫了一份隱退宣言，描述自己的心路歷程。

下面，雷鋒網(wǎng)提煉下該宣言的幾個(gè)要點(diǎn)：

1.作者把自己定義成一個(gè)愛(ài)國(guó)者，并表示，他做這件事情是希望能通過(guò)自己的行動(dòng)，使得供應(yīng)鏈、消費(fèi)者和整個(gè)監(jiān)管機(jī)構(gòu)都能夠重視 IoT 的安全問(wèn)題。

2.他公布了一個(gè)混淆后的源代碼，該代碼不能直接利用，但其中含有大量的弱口令、漏洞利用的攻擊手段，別人可以使用這些攻擊手段構(gòu)建自己的僵尸網(wǎng)絡(luò)。這意味著，作者給世界的各個(gè)角落又埋下了炸彈。

3.作者承認(rèn)，有些攻擊是自己做的，比如，去年 11 月的德國(guó)斷網(wǎng)，他讓設(shè)備變磚了。

但是，有意思的是，這個(gè)隱退宣言可能“真假參半”。對(duì)于前兩者，基本上沒(méi)什么疑問(wèn)。但是對(duì)于第三點(diǎn)，作者承認(rèn)做了的一些攻擊卻可能是為自己“加戲”。

2017 年 1 月，華盛頓特區(qū)有部分?jǐn)z像頭變磚，這件事情在美國(guó)影響比較大，因?yàn)槿A盛頓特區(qū)是美國(guó)首都，攝像頭可以變磚，意味著攝像頭可以用來(lái)看別人的東西。BrickBot 的作者就宣稱——這是我讓它們變磚的。

3月，他開(kāi)始看 AVtech 和 Wi-Fi Cam 這兩組設(shè)備，并暗示這些設(shè)備將影響機(jī)場(chǎng)和其它重要的基礎(chǔ)設(shè)施，比如核武器的安全。2017 年 4 月，美國(guó)國(guó)土安全部（DHS）發(fā)了一個(gè)針對(duì) BrickBot 作者該言論的警告。

作者本來(lái)覺(jué)得自己是好意，但卻受到了自家政府的打臉和警告，“愛(ài)國(guó)心”碎成了渣，這也是他萌生退意的開(kāi)始。

到了 2017 年夏天，作者持續(xù)升級(jí)自己的武器庫(kù)，開(kāi)始關(guān)注所謂的亞洲太平洋地區(qū)網(wǎng)絡(luò)協(xié)調(diào)中心下面的網(wǎng)絡(luò)，包括中國(guó)、印度、東南亞、澳大利亞、新西蘭等國(guó)家。他說(shuō)，自己讓幾十萬(wàn)臺(tái) BSNL 和 MTNL 的設(shè)備下線——?jiǎng)∏殚_(kāi)始走向玄幻，李豐沛對(duì)這個(gè)數(shù)據(jù)是存疑的，因?yàn)樗麄儧](méi)有監(jiān)測(cè)到實(shí)際的數(shù)字。

作者又稱，自己在印度弄出了很大的動(dòng)靜，也上了很多的新聞?lì)^條——但考慮到當(dāng)時(shí)印度和中國(guó)在地緣政治上非常緊張，他“好心”地?cái)[擺手：這件事跟這兩個(gè)國(guó)家沒(méi)關(guān)系，不要影響兩國(guó)關(guān)系，都是我本人干的。

這個(gè)作者抖出了更多的料。

8月，他看到了一個(gè)名為 CVE-2017-7921 的漏洞，在分析這個(gè)漏洞的過(guò)程中，他發(fā)現(xiàn)?？低曈幸粋€(gè)未公開(kāi)漏洞（0day），這件事情把作者嚇壞了——他有一個(gè)比較重要的觀點(diǎn)，上一次的互聯(lián)網(wǎng)大災(zāi)難是美國(guó)斷網(wǎng)，離下一次的大災(zāi)難也就是一兩個(gè) 0day 的距離。

BrickBot 的作者又開(kāi)始了他的“好心”，花了差不多三周，把海康和大華約 100萬(wàn)個(gè)的攝像頭弄失效了，大華和海康因?yàn)榇耸逻€發(fā)了公告，最終整個(gè)設(shè)備進(jìn)行了固件升級(jí)。但戲精作者依然不滿意，認(rèn)為整個(gè)設(shè)備升級(jí)的過(guò)程比較混亂，所以他專門在Pastebin上發(fā)表了一篇文章給大華、?？档葟S商參考。

至此，兩個(gè)讓人目瞪口呆的僵尸網(wǎng)絡(luò)作者的故事結(jié)束。我們來(lái)投個(gè)票吧~

你覺(jué)得上述哪個(gè)僵尸網(wǎng)絡(luò)作者更沒(méi)有節(jié)操？

A.偷換錢包地址的 Satori.Coin.Robber 作者

B.“愛(ài)國(guó)心”爆棚的 BrickBot 作者

C.兩人不相上下，推薦參加“戲精的誕生”

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。