經(jīng)常走夜路的人，容易遇見鬼。

對監(jiān)測網(wǎng)絡(luò)安全威脅的人來說，遇見一兩個掉節(jié)操的攻擊者，這絕對是大概率事件。不過，讓360 網(wǎng)絡(luò)安全研究員李豐沛哭笑不得的是，最近有兩個黑客節(jié)操掉到讓人心疼，一時間他還難以在兩者中評出高下。

要不……我們來看下這兩個黑客的故事，再來投票。

居然替換礦工的“收費(fèi)二維碼”

以前，雷鋒網(wǎng)宅客頻道（微信ID：letshome）給大家科普過，自從美國東部大斷網(wǎng)后，規(guī)模更大的僵尸網(wǎng)絡(luò)層出不窮。其中，規(guī)模大到嚇人的一個是 Mirai 僵尸網(wǎng)絡(luò)的一個變種，叫做 Satori，還有人又把這個 Satori 叫做 Okiru。

八卦一下，Satori 是日本禪宗用語，Okiru 也是一個日語發(fā)音，安全研究員們因此有個小小的猜想，這個僵尸網(wǎng)絡(luò)的作者可能是個日本文化的癡迷者。

言歸正傳，本來安全研究員正在監(jiān)測 Satori 的進(jìn)展，因為 Satori 規(guī)模實在很大，大家對它的一舉一動很關(guān)心，生怕沉寂的僵尸網(wǎng)絡(luò)一下變得活躍，那么下一場大斷網(wǎng)就不知道發(fā)生在哪里了。

大家很擔(dān)心，于是各方聯(lián)合絞殺，封堵 Satori 利用的網(wǎng)絡(luò)端口。眼看著，Satori 感染的路由器速度降了下來，各方倍感欣慰。

不料，李豐沛等人最近突然發(fā)現(xiàn)：咦，Satori 這貨最近要搞事?。≡瓉?，他們監(jiān)測到了一個 Satori 的變種：Satori.Coin.Robber。

看名字就知道，這個家伙跟偷東西有關(guān)。不過，它偷的竟是數(shù)字貨幣，讓安全研究員都吃了一驚的是，這貨的行為實在太掉節(jié)操——如果是黑了別人設(shè)備用來做挖礦，這種僵尸網(wǎng)絡(luò)還是挺多的，但是靠黑別人的挖礦機(jī)器，把錢包地址改成自己的，這這這，看慣了黑產(chǎn)大千世界的李豐沛都覺得，聞所未聞??！

這好比原先直接搶錢的，這回把商戶的收費(fèi)二維碼變成自己的，回頭別人付費(fèi)時，錢流到了自己的口袋。

當(dāng)然，你要說了，你憑什么說這個變種就是 Satori 的變種？

凡事講證據(jù)。

原來，這兩個僵尸網(wǎng)絡(luò)的代碼有一個共同特征：有一個對二進(jìn)制的 UPX 加殼，使用了一個隨機(jī)數(shù)，用隨機(jī)數(shù)作為加殼的鑰匙。李豐沛等人分析后，發(fā)現(xiàn)兩個版本的代碼的隨機(jī)數(shù)是一模一樣的。

“一般這個證據(jù)就已經(jīng)很強(qiáng)了，再加上其他的輔助的證據(jù)，我們認(rèn)為，這次的 Satori.Coin.Robber 和我們上次報告的 Satori 應(yīng)該是同一個人或者同一伙人做的?！崩顚卒h網(wǎng)說。

這事還有個搞笑的后續(xù)。

李豐沛等人發(fā)表了該變種的報告后，在推特上轉(zhuǎn)發(fā)了這次報告的內(nèi)容。不料，這個報告里有一個郵件地址，這個郵件地址被 Satori.Coin.Robber 的作者留在了服務(wù)器控制信息端，作者還留下了這樣的信息：盆友，你看到這段信息不要慌張，這次變種里沒有惡意打包、發(fā)包的功能，也就是不會搞 DDoS，所以你要是有什么問題可以聯(lián)系我，我留了一個郵件地址哦。

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net .

這則推文發(fā)出去后，一個用戶艾特了 360：“你看吧，都是你們，現(xiàn)在都已經(jīng)有媒體開始發(fā)郵件問我到底是怎么回事呢，還有號稱是PC Magazine的媒體記者發(fā)郵件給我?！?/strong>

這個用戶還專門提供了一個截圖，表示自己受到了記者的騷擾。

為了防止網(wǎng)友給自己加戲，冒充作者聯(lián)系360，李豐沛專門分析了郵件地址和郵件行文，與作者在代碼中留下的郵件行文進(jìn)行對比，最后終于確認(rèn)，這個推特用戶真的是  Satori 的變種以及 Satori 的作者！

不過，更搞笑的是，由于這個替換礦機(jī)錢包地址的變種被發(fā)現(xiàn)得太快， Satori.Coin.Robber 的生意并不太好，到目前為止，這個錢包地址只收到了一個 ETH 幣。

看來，這個僵尸網(wǎng)絡(luò)變種作者的發(fā)財夢要落空了。

戲精“愛國者”發(fā)表“真假”宣言

2016年，出現(xiàn)了一個與路由器漏洞有關(guān)的 BrickBot 的僵尸網(wǎng)絡(luò)。這個僵尸網(wǎng)絡(luò)真的能讓設(shè)備變“僵尸”：利用一些已知的設(shè)備漏洞黑進(jìn)去，把設(shè)備里面的文件刪掉，刪掉以后重啟，然后設(shè)備肯定起不來了，里面的系統(tǒng)信息都被刪掉，這個系統(tǒng)變磚了。

搞僵尸就搞僵尸，怎么還徹底把設(shè)備變磚呢？安全社區(qū)都對這個作者的動機(jī)好奇了，有人說，其實作者是希望通過讓用戶的設(shè)備變磚這種極端手段，讓用戶意識到它的設(shè)備有問題，最終給設(shè)備打上補(bǔ)丁，升級到一個比較安全的版本。

還有這么“好心”的僵尸作者？

李豐沛等人注意到這件事情是在2017年12月底，他們發(fā)現(xiàn)，這個僵尸網(wǎng)絡(luò)的源代碼在網(wǎng)上泄露了。

這就好玩了——一般這種源代碼只有作者本人才知道，那么，很可能是作者自己放出來的。李等人一研究，發(fā)現(xiàn)這個變磚的路由器與 Satori  針對的某中國品牌路由器是同一系列。后來，他們又發(fā)現(xiàn)，BrickBot 的作者是想甩手不干，自此遠(yuǎn)離江湖，所以放出了源代碼。

不過，讓人感慨的是，該作者還寫了一份隱退宣言，描述自己的心路歷程。

下面，雷鋒網(wǎng)提煉下該宣言的幾個要點(diǎn)：

1.作者把自己定義成一個愛國者，并表示，他做這件事情是希望能通過自己的行動，使得供應(yīng)鏈、消費(fèi)者和整個監(jiān)管機(jī)構(gòu)都能夠重視 IoT 的安全問題。

2.他公布了一個混淆后的源代碼，該代碼不能直接利用，但其中含有大量的弱口令、漏洞利用的攻擊手段，別人可以使用這些攻擊手段構(gòu)建自己的僵尸網(wǎng)絡(luò)。這意味著，作者給世界的各個角落又埋下了炸彈。

3.作者承認(rèn)，有些攻擊是自己做的，比如，去年 11 月的德國斷網(wǎng)，他讓設(shè)備變磚了。

但是，有意思的是，這個隱退宣言可能“真假參半”。對于前兩者，基本上沒什么疑問。但是對于第三點(diǎn)，作者承認(rèn)做了的一些攻擊卻可能是為自己“加戲”。

2017 年 1 月，華盛頓特區(qū)有部分?jǐn)z像頭變磚，這件事情在美國影響比較大，因為華盛頓特區(qū)是美國首都，攝像頭可以變磚，意味著攝像頭可以用來看別人的東西。BrickBot 的作者就宣稱——這是我讓它們變磚的。

3月，他開始看 AVtech 和 Wi-Fi Cam 這兩組設(shè)備，并暗示這些設(shè)備將影響機(jī)場和其它重要的基礎(chǔ)設(shè)施，比如核武器的安全。2017 年 4 月，美國國土安全部（DHS）發(fā)了一個針對 BrickBot 作者該言論的警告。

作者本來覺得自己是好意，但卻受到了自家政府的打臉和警告，“愛國心”碎成了渣，這也是他萌生退意的開始。

到了 2017 年夏天，作者持續(xù)升級自己的武器庫，開始關(guān)注所謂的亞洲太平洋地區(qū)網(wǎng)絡(luò)協(xié)調(diào)中心下面的網(wǎng)絡(luò)，包括中國、印度、東南亞、澳大利亞、新西蘭等國家。他說，自己讓幾十萬臺 BSNL 和 MTNL 的設(shè)備下線——劇情開始走向玄幻，李豐沛對這個數(shù)據(jù)是存疑的，因為他們沒有監(jiān)測到實際的數(shù)字。

作者又稱，自己在印度弄出了很大的動靜，也上了很多的新聞頭條——但考慮到當(dāng)時印度和中國在地緣政治上非常緊張，他“好心”地擺擺手：這件事跟這兩個國家沒關(guān)系，不要影響兩國關(guān)系，都是我本人干的。

這個作者抖出了更多的料。

8月，他看到了一個名為 CVE-2017-7921 的漏洞，在分析這個漏洞的過程中，他發(fā)現(xiàn)?？低曈幸粋€未公開漏洞（0day），這件事情把作者嚇壞了——他有一個比較重要的觀點(diǎn)，上一次的互聯(lián)網(wǎng)大災(zāi)難是美國斷網(wǎng)，離下一次的大災(zāi)難也就是一兩個 0day 的距離。

BrickBot 的作者又開始了他的“好心”，花了差不多三周，把?？岛痛笕A約 100萬個的攝像頭弄失效了，大華和?？狄驗榇耸逻€發(fā)了公告，最終整個設(shè)備進(jìn)行了固件升級。但戲精作者依然不滿意，認(rèn)為整個設(shè)備升級的過程比較混亂，所以他專門在Pastebin上發(fā)表了一篇文章給大華、海康等廠商參考。

至此，兩個讓人目瞪口呆的僵尸網(wǎng)絡(luò)作者的故事結(jié)束。我們來投個票吧~

你覺得上述哪個僵尸網(wǎng)絡(luò)作者更沒有節(jié)操？

A.偷換錢包地址的 Satori.Coin.Robber 作者

B.“愛國心”爆棚的 BrickBot 作者

C.兩人不相上下，推薦參加“戲精的誕生”

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。