恶意软件简史(第 4 部分)

科技   2024-12-13 14:51   广东  

2000 年代见证了恶意软件快速进化为更具攻击性的蠕虫,它们利用软件漏洞自主传播并造成严重破坏。著名的蠕虫如ILOVEYOU、Slammer和Conficker利用了社会工程、多载体传播和高级规避技术。这个时代还标志着僵尸网络的兴起、大规模分布式拒绝服务 (DDoS) 攻击以及恶意软件向移动设备的扩展,为我们今天看到的复杂恶意软件奠定了基础。

恶意软件的青春期:蠕虫的崛起。21 世纪

世纪之交标志着恶意软件的“青春期”,这一时期的特点是恶意软件迅速演变为更具攻击性和更广泛的形式,特别是蠕虫。互联网接入的兴起,加上 Microsoft Windows 等操作系统的日益普及,为蠕虫的开发和传播提供了沃土。与早期的恶意软件(通常用作概念验证或为实验而创建)不同,21 世纪的蠕虫具有更具破坏性的意图:它们利用安全漏洞,自主传播并造成大规模破坏。

十年之初,出现了著名的ILOVEYOU蠕虫病毒 (2000) [1]。该恶意软件使用 VBScript 开发,针对 Windows,借鉴了 的创意Melissa。感染后,它会将自身发送给用户 Microsoft Outlook 地址簿中的所有联系人。它还可以通过当时流行的互联网中继聊天客户端 mIRC 进行传播。在企业和个人正在经历数字化转型之际,该ILOVEYOU蠕虫病毒造成了大规模破坏,导致全球损失估计达 80 亿至 100 亿美元 [2, 3]。图 1 显示了当时一封带有感染 的附件的电子邮件ILOVEYOU。它展示了通过看似无辜的消息利用人类的好奇心和信任的有效性。

图 1:带有感染附件的电子邮件ILOVEYOU(来源:维基百科)

同年,第一个 IRC 僵尸程序GTBot也出现了,它以伪装成软件实用程序的特洛伊木马的形式传播。一旦启动,它就会使用 mIRC 客户端与攻击者通信,攻击者利用受感染的系统进行 DoS 攻击。该Anna Kournikova蠕虫延续了基于 VBScript 的蠕虫的趋势,于 2001 年出现。它通过在 Microsoft Outlook 中打开电子邮件附件时启动 VBScript 程序进行传播,将自身转发给受害者地址簿中的所有联系人(见图 2)。它的快速传播导致全球许多电子邮件服务器出现 DoS 问题 [4]。有趣的是,Anna Kournikova它是使用 Kalamar 的 VBS Worm Generator 创建的,该工具专门用于生成当时的新蠕虫类恶意软件。

图 2:带有感染附件的电子邮件Anna Kournikova(来源:安娜·库尔尼科娃蠕虫的回忆,Graham Cluley)

21 世纪初期,还出现了一些技术更为先进的蠕虫,例如Sadmind[5] 和CodeRed[6],它们针对的是服务器软件中的漏洞。具体来说,它们Sadmind会感染 Solaris 和 Microsoft IIS 服务器,破坏网站 [7],同时CodeRed还会利用 Microsoft IIS 中的漏洞破坏网页 [8](参见图 3 中的示例)。这些蠕虫的危害因专注于服务器而扩大,一旦服务器被攻陷,将影响众多用户。

图 3:被蠕虫破坏的网站CodeRed(来源:维基百科)

不久之后,在 2001 年,Nimda出现了,它以无需打开任何电子邮件附件即可执行而著称。由于 Microsoft Internet Explorer 中的配置漏洞,仅预览电子邮件就会激活[9]。它传播到 Microsoft Windows 工作站和服务器,通过电子邮件、开放网络共享从一个客户端传播到另一个客户端,并通过利用和Nimda留下的后门从一个 Web 服务器传播到另一个客户端。SadmindCodeRed

2001 年晚些时候,Klez出现了 [10]。与 Nimda 一样,它不需要打开电子邮件附件,并且通过欺骗发件人的身份使事情变得更加复杂。一些变种包括Klez路过式下载(路过式下载攻击是指无意中将恶意文件或潜在有害软件下载到计算机系统上)、文件感染程序和文件删除行为,这标志着其转向更具危害性的意图,而其他变种则试图从受感染的系统中删除Nimda文件CodeRed。

MetaPHOR(也称为Win32/Simile或Etap)是第一个变形病毒,于 2002 年初发布。它能够自我变形,重写自己的代码,并且是用汇编语言编写的 [11]。大约在同一时间,MyLife出现了一种群发邮件蠕虫,而Tanatos出现了一种能够记录键盘并具有后门功能的木马,影响了 Windows 系统 [12, 13]。

第一个公认的垃圾邮件蠕虫病毒Sobig出现于 2003 年,通过电子邮件和网络共享进行传播[14]。2003 年的另一件大事是 的发布Slammer,这进一步说明了恶意软件的传播速度之快。该蠕虫病毒利用 Microsoft SQL Server 2000 中的缓冲区溢出漏洞,Slammer在几分钟内感染了数十万个系统,导致大面积网络拥塞和拒绝服务 [15]。由于其传播速度如此之快,它获得了第一个“沃霍尔蠕虫”的绰号 [16],能够在 15 分钟内感染几乎整个存在漏洞的互联网。图 4 展示了 发送的用于Slammer感染 MS SQL 服务器的 UDP 包。Spybot第一个点对点蠕虫病毒 也出现在 2003 年[17]。

图4. SlammerUDP包(来源:SlidePlayer)

21 世纪还标志着专门用于创建僵尸网络(用于各种恶意活动的受感染计算机网络)的恶意软件的开始。Blaster同样出现在 2003 年的 ,利用 Windows 漏洞(具体来说,在 DCOM RPC 组件中)发起 DDoS 攻击 [18](见图 5),而Sasser,在 2004 年,针对另一个 Windows 漏洞(具体来说,Windows XP 和 Windows 2000 系统中的 LSSASS 服务),尽管并非故意破坏,但却导致了严重破坏 [19]。这些蠕虫是恶意软件的早期例子,它们试图利用大量受感染的系统进行协同攻击,这种趋势将变得越来越突出。与 相关的Blaster,还值得一提的是非恶意的Welchia/Nachi蠕虫(归类为线虫),旨在清除Blaster感染,同时修补易受攻击的系统以防止进一步感染。

图 5:蠕虫的十六进制转储Blaster,显示了程序员给微软创始人比尔盖茨留下的信息(来源:维基百科)

此外Sasser,2004 年还出现了MyDoom,它通过电子邮件和 Kazaa P2P 网络传播,发起 DDoS 攻击并创建后门 [20]。Santy第一个网络蠕虫 针对的是 phpBB 论坛,而Witty第一个高传播率蠕虫 针对的是特定的安全系统 [21,22]。这个时代还见证了第一个针对非 PC 环境的蠕虫的出现。2004Cabir年出现的 是第一个感染手机并通过蓝牙连接传播到基于 Symbian 的设备 [23] 的蠕虫。这标志着恶意软件开始传播到新的环境,为未来针对移动和物联网设备的攻击铺平了道路。

2005 年,Zotob病毒利用 Windows 2000 即插即用服务中的漏洞进行传播,将受感染的系统变成僵尸网络的一部分 [24]。这一年还发生了 Sony BMG rootkit 事件。为了控制音乐的翻录和分发,索尼实施了 ,XCP rootkit以防止用户复制音乐 CD,同时仍允许 CD 播放音乐 [25]。病毒Brontok也于今年出现,通过电子邮件和可移动驱动器传播,并对特定网站(如 PlayBoy 或以色列政府相关网站)造成 DoS [26]。

第一个针对 macOS 的蠕虫病毒Oompa(或Leap)于 2006 年发布,通过 iChat 传播[27]。Inqtana另一个 macOS 蠕虫病毒(从技术上讲,归类为概念验证蠕虫)利用了蓝牙漏洞 [28],而另一个 Windows 蠕虫病毒Stration(也称为Warezov)通过电子邮件和可移动驱动器传播,形成了僵尸网络 [29]。也出现在今年,与其他蠕虫病毒Tamiami不同的是,它是一个结合了文件感染行为的 Windows 蠕虫病毒。

Zhelatin是一种 2007 年出现的群发邮件蠕虫,它利用了 rootkit 和键盘记录器,受感染的系统成为了“风暴蠕虫”僵尸网络的一部分 [30]。这一年还出现了Zeus一种复杂的银行木马,它通过网络浏览器窃取凭证 [31,32],后来成为历史上寿命最长、破坏力最大的恶意软件之一,造成了重大的经济损失,并在几次备受瞩目的打击行动中扮演了重要角色(参见图 6 以了解其基础设施)[33]。

图 6:GameOver Zeus 僵尸网络的基础设施(来源:“一种减轻基于恶意软件的银行网络攻击的贝叶斯攻击网络建模方法”)。

2008 年,社交网络首次遭遇蠕虫病毒Koobface,最初以 Facebook 为目标,后来蔓延至 Twitter 和 MySpace [33]。另一个主要蠕虫病毒Conficker(也称为Downadup和)利用了 MS08-067 漏洞,成为自[34] 以来传播范围最广的感染。特别地,利用 Windows 中的 MS08-067 漏洞(两年后 Stuxnet [35] 也利用了此漏洞)展示了现代恶意软件如何大规模传播,影响了全球数百万台计算机。它代表了恶意软件攻击的复杂程度和协调程度显著升级,使用域生成算法等高级技术来逃避检测并确保持久性。的影响范围很广,既触及家庭用户,也触及关键基础设施,为未来网络威胁的规模和严重性开创了先例。这给网络安全界敲响了警钟,凸显了更好的漏洞管理和合作防御策略的迫切需要。KidoSlammerConfickerConflicker

图 7:Conficker 蠕虫病毒的传播(来源:维基百科)。

就这样,动荡的 21 世纪十年就结束了!在这十年中,恶意软件从简单的病毒进化为高效的自我复制蠕虫,最终演变成Conficker蠕虫,这种蠕虫凸显了威胁形势已变得多么严重。


参考

  • 病毒百科全书。Loveletter。[在线;http://virus.wikidot.com/loveletter ]。2023 年 2 月 10 日访问

  • 伊诺克·鲁特。《ILOVEYOU:爱所有人的病毒》。[在线;https://www.kaspersky.com/blog/cybersecurity-history-iloveyou/45001/ ],2022 年 8 月。2023 年 2 月 10 日访问。

  • 罗伯特·S·穆勒。《全球化时代保护美国经济》。[在线;https://archives.fbi.gov/archives/news/speeches/protecting-the-us-economy-in-a-global-age ],2003 年 10 月。2023 年 2 月 10 日访问。

  • 格雷厄姆·克鲁利 (Graham Cluley)。安娜·库尔尼科娃蠕虫的回忆。[在线;https://grahamcluley.com/memories-anna-kournikova-worm/ ],2011 年 2 月。2023 年 2 月 10 日访问。

  • 病毒百科全书。Sadmind。[在线;http: //virus.wikidot.com/sadmind ]。2023 年 2 月 10 日访问

  • 病毒百科全书。Codered。[在线;http://virus.wikidot.com/codered ]。2023 年 2 月 10 日访问

  • 恶意软件 Wiki。Sadmind。[在线;https ://malwiki.org/index.php?title=Sadmind ],2021 年 2 月。2023 年 2 月 10 日访问。

  • Ryan Permeh 和 Marc Maiffret。分析:.ida“Code Red”蠕虫。[在线;https://web.archive.org/web/20110722192419/http://www.eeye.com/Resources/Security-Center/Research/Security-Advisories/AL20010717 ],2001 年 7 月。2023 年 2 月 10 日访问。

  • CERT 部门。2001 CERT 公告。techreport DM17-0052,卡内基梅隆大学,2017 年。

  • 恶意软件维基。Klez。[在线;https ://malwiki.org/index.php?title=Klez ],2021 年 7 月。2023 年 2 月 10 日访问。

  • 精神钻探者。变形置换高混淆重组器。[在线;http://dsr.segfault.es/stuff/website-mirrors/29A/29a-6/29a-6.602 ],2002 年 2 月。2023 年 2 月 10 日访问。

  • F-Secure。Mylife。[在线;https://www.f-secure.com/v-descs/mylife.shtml ]。2023 年 2 月 10 日访问。

  • 恶意软件维基。Tanatos。[在线;https ://malwiki.org/index.php?title=Tanatos ],2021 年 2 月。2023 年 2 月 10 日访问。

  • ANY.RUN。恶意软件历史:Sobig。[在线;https://any.run/cybersecurity-blog/malware-history-sobig/ ],2020 年 9 月。2023 年 2 月 10 日访问。

  • F-Secure。蠕虫:W32/Slammer。[在线;https://www.f-secure.com/v-descs/mssqlm.shtml ]。2023 年 2 月 10 日访问。

  • Stuart Staniford、Vern Paxson 和 Nicholas Weaver。如何在业余时间拥有互联网。第 11 届 USENIX 安全研讨会 (USENIX Security 02) 论文集,2002 年

  • 恶意软件 Wiki。Spybot。[在线;https: //malwiki.org/index.php?title=Spybot ],2021 年 5 月。2023 年 2 月 10 日访问。

  • 病毒百科全书。Blaster。[在线;http://virus.wikidot.com/blaster ]。2023 年 2 月 10 日访问。

  • Duncan Macrae。您需要了解的有关 Sasser 蠕虫的所有信息。[在线;https://techmonitor.ai/technology/cybersecurity/everything-you-need-to-know-about-the-sasser-worm-4213147 ],2014 年 4 月。2023 年 2 月 10 日访问。

  • GetSupport。Mydoom:世界上最快的计算机病毒背后的迷人故事。[在线;https://www.getsupport.co.uk/blog/2021-10/mydoom-the-fascinating-story-behind-the-worlds-fastest-computer-virus/ ],2021 年 10 月。2023 年 2 月 10 日访问。

  • F-Secure。Net-Worm:W32/Santy.A。[在线;https://www.f-secure.com/v-descs/santy_a.shtml ]。2023 年 2 月 10 日访问。

  • 布鲁斯·施奈尔。Witty 蠕虫:恶意软件的新篇章。[在线;https://www.computerworld.com/article/2565119/the-wittyworm–a-new-chapter-in-malware.html ],2004 年 6 月。2023 年 2 月 10 日访问。

  • F-Secure。蓝牙蠕虫:SymbOS/Cabir。[在线;https://www.f-secure.com/v-descs/cabir.shtml ]。2023 年 2 月 10 日访问。

  • 恶意软件维基。Zotob。[在线;https://malwiki.org/index.php?title=Zotob],2021 年 6 月。2023 年 2 月 10 日访问。

  • FSFE。重温索尼 Rootkit。[在线;https://fsfe.org/activities/drm/sony-rootkit-fiasco.en.html ]。2023 年 2 月 10 日访问。

  • 恶意软件维基。Brontok。[在线;https ://malwiki.org/index.php? title=Brontok],2021 年 6 月。2023 年 2 月 10 日访问。

  • Rob Griffiths。Leap-A 恶意软件:您需要了解的内容。[在线;https://www.macworld.com/article/178862/leapafaq-2.html ],2006 年 2 月。2023 年 2 月 10 日访问。

  • John Leyden。Mac OS X 恶意软件利用蓝牙漏洞。[在线;https://www.theregister.com/2006/02/17/macosx_bluetooth_worm/ ],2006 年 2 月。2023 年 2 月 10 日访问。TODO

  • 检查这是 macos 还是 windows

  • 病毒百科全书。Stration。[在线;http: //virus.wikidot.com/stration ]。2023 年 2 月 10 日访问。

  • 病毒百科全书。Zhelatin。[在线;http: //virus.wikidot.com/zhelatin ]。2023 年 2 月 10 日访问。

  • Malwarebytes Labs。ZeuS 木马病毒的生与死。[在线;https://www.malwarebytes.com/blog/news/2021/07/the-life-anddeath-

  • of-the-zeus-trojan ],2021 年 7 月。2023 年 2 月 10 日访问。

  • Konstantinos P. Grammatikakis、Ioannis Koufos、Nicholas Kolokotronis、Costas Vassilakis 和 Stavros Shiaeles。《了解和缓解银行木马:从 Zeus 到 Emotet》。2021年 IEEE 网络安全和弹性国际会议 (CSR),第 121-128 页,2021 年。

  • FBI。GameOver Zeus 僵尸网络被破坏。[在线;https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted ]。2024 年 11 月 2 日访问。

  • 恶意软件维基。Koobface。[在线;https ://malwiki.org/index.php? title=Koobface],2021 年 4 月。2023 年 2 月 10 日访问。

  • AVG 南非。Conficker/Downadup/Kido 蠕虫感染了超过 900 万台 PC。[在线;https://www.itweb.co.za/content/JN1gP7O2BA5vjL6m ],2009 年 3 月。2023 年 2 月 10 日访问。

  • Ralph Langner。Stuxnet:剖析网络战武器。IEEE 安全与隐私,第 9 卷,第 3 期,第 49-51 页

就这样吧,朋友们!在这篇博文中,我们探讨了 21 世纪恶意软件的青春期,这一时期的特点是转向自我复制的蠕虫,这些蠕虫利用广泛使用的软件(尤其是 Web 服务器)中的漏洞,结合复杂的传播技术,造成重大经济损失。这个时代为现代恶意软件奠定了基础,强调了互联网安全日益增长的重要性以及防御快速发展的数字威胁的持续挑战。在下一篇博文中,我们将深入探讨从 2010 年开始的恶意软件的成年期,当时复杂的针对性攻击(包括勒索软件和 APT)再次重塑了威胁格局。下一篇博文再见!


全部文章点击阅读原文即可跳转到原文地址



感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里

Ots安全
持续发展共享方向:威胁情报、漏洞情报、恶意分析、渗透技术(工具)等,不会回复任何私信,感谢关注。
 最新文章