正月十五一過，新年就算過去了。

誰又能想到豬年開年大戲居然是大型吃瓜現(xiàn)場呢？演員翟天臨以“知網(wǎng)是什么”為開端引爆自己，至此被扒出公開論文抄襲，復(fù)制比53%，甚至碩士論文也被扒出抄了陳坤的本科論文。

2月19日，圍觀群眾等到了大戲終章，北京電影學(xué)院官方微博發(fā)布說明稱，撤銷翟天臨博士學(xué)位，取消陳浥博導(dǎo)資格。二人對此均表示接受。

有趣的是，雷鋒網(wǎng)編輯發(fā)現(xiàn)這個瓜在安全圈也吃的津津有味，朋友圈某位白帽子就吐槽翟天臨時候說道，這人頭發(fā)比我多，長得比我?guī)?，但論文寫得一定沒我好。

究其原因一方面是與這群“又禿又強”的碩博群體有真實共鳴，另一方便是“抄襲”這事在安全圈也不新鮮。很多新病毒都在功能、攻擊手法上借鑒知名病毒，此類“抄襲”可謂多如牛毛。相比學(xué)術(shù)圈簡單粗暴的“復(fù)制粘貼”式抄襲，安全圈要復(fù)雜得多。

黑吃黑式抄襲

抄別人的病毒不算什么，抄了還能干掉原病毒就有點厲害了。比如，最近亞信安全偵測到一個會從某網(wǎng)域下載二進制文件的新病毒腳本。

【偵測到會從某網(wǎng)域下載檔案的新腳本】

經(jīng)過調(diào)查發(fā)現(xiàn)，這一腳本與2018年11月所搜集到的某個 KORKERDS 樣本代碼幾乎完全相同，只是新增及刪除的少數(shù)部分。與KORKERDS相比，這個新發(fā)現(xiàn)的腳本并不會移除系統(tǒng)上已安裝的安全產(chǎn)品，也不會在系統(tǒng)上安裝Rootkit，反而會將 KORKERDS 惡意挖礦程序和 Rootkit 組件清除。

這就很牛掰了，在線上演黑吃黑。

除此之外，該腳本抄襲了Xbash的功能和KORKERDS惡意程序，還會安裝一個挖礦惡意程序，也會將自己植入系統(tǒng)并在crontab當(dāng)中設(shè)定排程以便在重啟后繼續(xù)執(zhí)行，并且防止遭到刪除，此外也將一些記錄文件內(nèi)容清除為0。

當(dāng)然，這個腳本并非第一個會清除系統(tǒng)上其他惡意程序的惡意程序，之前的案例卻沒有如此大量清除Linux惡意程序。對于網(wǎng)絡(luò)犯罪集團來說，清除其他競爭對手的惡意程序只是提高其獲利的手段之一。

變種病毒

另一種好用省事的“抄襲”法是病毒變種。

2017年5月，WannaCry 勒索病毒席卷全球。惡意代碼掃描開放 445 文件共享端口的 Windows 機器，無需用戶任何操作，只要開機上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機等惡意程序。受害者電腦會被黑客鎖定，提示支付價值相當(dāng)于 300 美元（約合人民幣 2069 元）的比特幣才可解鎖。

至此拉開了一場轟轟烈烈的攻防對抗戰(zhàn)。一邊是安全廠商推出各種防御殺毒方案，一方面是黑客們搞出的一波又一波變種，“WannaCry 2.0”、“WannaSister”（想妹妹）等等。

甚至事情過去一個月以后，熱門手游《王者榮耀》的外掛竟也被瞄上。

雷鋒網(wǎng)曾在《打個“農(nóng)藥”就可能被勒索 20 塊，究竟怎么回事？》一文中描寫過，也許對“永恒之藍”帶來的邪惡影響帶著極其黑暗的崇拜，這款勒索軟件的作者把勒索敲詐頁面做成了高仿電腦版的“永恒之藍”勒索病毒。軟件運行后，安卓手機用戶的桌面壁紙、軟件名稱和圖標(biāo)會被篡改。手機中的照片、下載、云盤等目錄下的文件進行加密，并向用戶勒索贖金，金額在 20 元、40 元不等。并且宣稱 3 天不交贖金，價格將翻倍，7 天不交，將刪除所有加密文件。

而這款高防“永恒之藍”也有很多變種，通過生成器選擇不同的配置信息，可以在加密算法、密鑰生成算法上進行隨機的變化，甚至可以選擇對生成的病毒樣本進行加固混淆。

更有意思的是，病毒傳播采用了“收徒”制。

1、 病毒作者制作病毒生成器自己使用或授權(quán)他人使用；

2、 通過 QQ 群、QQ 空間、或是上傳教學(xué)視頻傳播制作教程；

3、 作者徒弟修改病毒生成器，自己使用或是授權(quán)他人使用。

仿佛看了一窩傳銷組織……

目前主流的兩個勒索病毒家族是GlobeImposter家族和Crysis家族。這兩個家族幾乎每隔一段時間就會出現(xiàn)新后綴變種。而另一個后來居上的勒索病毒家族是2018年1月首次被發(fā)現(xiàn)的GandCrab勒索病毒，其短短數(shù)月便歷經(jīng)3個版本的更迭，迅速發(fā)展成為2018年第三大流行勒索病毒家族。

當(dāng)然。其他勒索病毒家族也沒少閑著，這里列舉了近年部分勒索病毒變種：

Shifr勒索病毒變種CryptWalker

2018年2月20日，Shifr勒索病毒變種 Cypher 被曝加密文件后，會將文件后綴修改為“. cypher”。根據(jù)提示，會向用戶勒索1個比特幣。

Xiaoba勒索病毒變種

Xiaoba勒索病毒變種玩起了二次元風(fēng)，加密文件后將后綴改為.病名は愛です[BaYuCheng@yeah.net].xiaoba，并在桌面背景顯示一段恐嚇性日文，大意是說看到這段文字的用戶將面臨“死亡”。此外彈出200秒倒計時窗口，要求用戶在規(guī)定時間內(nèi)輸入密碼，否則將被刪除所有文件。

Scarab勒索病毒變種

通常，Scarab勒索病毒是利用Necurs僵尸網(wǎng)絡(luò)進行傳播的，Necurs是世界上最大的僵尸網(wǎng)絡(luò)之一，曾用于傳播多個惡意家族樣本。2018年8月，Scarab 勒索病毒出現(xiàn)最新變種，該變種文件加密后綴為.hitler，會通過RDP爆破+人工、捆綁軟件的方式進行傳播。

Satan勒索病毒新變種

作為2018年最為活躍的勒索病毒之一，撒旦（Satan）利用多種漏洞入侵企業(yè)內(nèi)網(wǎng)，給用戶帶來一定的網(wǎng)絡(luò)安全隱患，甚至造成重大財產(chǎn)損失。2018年10月，國內(nèi)一大批服務(wù)器遭入侵，經(jīng)分析確認(rèn)，發(fā)現(xiàn)植入的勒索病毒為最新的Satan4.2勒索病毒變種。

該病毒通過入侵目標(biāo)計算機遠(yuǎn)程桌面進行感染安裝，黑客通過暴力枚舉直接連入公網(wǎng)的遠(yuǎn)程桌面服務(wù)從而入侵服務(wù)器，獲取權(quán)限后便會上傳該勒索病毒進行感染，勒索病毒啟動后竟然會顯示感染進度等信息。

BlackRouter勒索病毒變種

BlackRouter勒索病毒使用了成熟的.net加密庫，運用AES算法加密文件、RSA算法加密 密鑰，在沒有攻擊者私鑰的情況下無法解密文件。該病毒在2018年4月份的舊版本曾偽裝為正常軟件誘導(dǎo)受害者下載，運行之后釋放出正常軟件和勒索病毒，2019年1月初被捕獲到新的病毒變種，目前仍然活躍。

KeyPass勒索病毒變種

2019年1月19日，KeyPass 勒索病毒新變種爆發(fā)，該病毒以偽造軟件破解工具或惡意捆綁的方式進行傳播感染，并會偽裝成windows升級更新達到加密目的，用戶感染后文檔文件會被加密，并添加“.djvu ”、“ .tro ”或“.tfude”等后綴。

Xcode事件

除了黑吃黑和變種病毒，也有黑客把心思花在代碼上。

比如曾轟動一時的Xcode事件。蘋果設(shè)備上的APP都是由蘋果Xcode開發(fā)工具所編寫，但Xcode體積過于龐大，如果在蘋果官方商店安裝會非常緩慢，于是很多開發(fā)者會在網(wǎng)盤或迅雷下載。而黑客們就在這些非官方渠道的Xcode藏了殺機，利用開發(fā)者感染了企業(yè)上架的APP。

整個經(jīng)過就是：

黑客將包含惡意功能的Xcode重新打包，發(fā)到各大蘋果開發(fā)社區(qū)供人下載；

來自于各企業(yè)內(nèi)的開發(fā)者下載安裝了包含惡意代碼的Xcode編寫APP；

惡意Xcode開始工作，向這些APP注入信息竊取功能；

被注入惡意功能的APP通過審核上架蘋果官方商店；

用戶在蘋果商店安裝了這些被感染的APP。

當(dāng)然，抄得好萬事皆宜，抄得不好那就悲催了。比如有黑客抄襲了有后門的病毒代碼，結(jié)果為他人做嫁衣。

總之，黑客們可能比你想的更狡猾，沒有不能抄的病毒，沒有不能改的代碼。豬位吃瓜快樂。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒技術(shù)，講述黑客背后故事，歡迎關(guān)注。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。