除了「複製粘貼」，安全圈的抄襲更複雜

正月十五一過，新年就算過去了。

誰又能想到豬年開年大戲居然是大型吃瓜現場呢？演員翟天臨以「知網是什麼」為開端引爆自己，至此被扒出公開論文抄襲，複製比53%，甚至碩士論文也被扒出抄了陳坤的本科論文。

2月19日，圍觀群眾等到了大戲終章，北京電影學院官方微博發布說明稱，撤銷翟天臨博士學位，取消陳浥博導資格。二人對此均表示接受。

有趣的是，雷鋒網編輯發現這個瓜在安全圈也吃的津津有味，朋友圈某位白帽子就吐槽翟天臨時候說道，這人頭髮比我多，長得比我帥，但論文寫得一定沒我好。

究其原因一方面是與這群「又禿又強」的碩博群體有真實共鳴，另一方便是「抄襲」這事在安全圈也不新鮮。很多新病毒都在功能、攻擊手法上借鑒知名病毒，此類「抄襲」可謂多如牛毛。相比學術圈簡單粗暴的「複製粘貼」式抄襲，安全圈要複雜得多。

黑吃黑式抄襲

抄別人的病毒不算什麼，抄了還能幹掉原病毒就有點厲害了。比如，最近亞信安全偵測到一個會從某網域下載二進位文件的新病毒腳本。

【偵測到會從某網域下載檔案的新腳本】

經過調查發現，這一腳本與2018年11月所搜集到的某個 KORKERDS 樣本代碼幾乎完全相同，只是新增及刪除的少數部分。與KORKERDS相比，這個新發現的腳本並不會移除系統上已安裝的安全產品，也不會在系統上安裝Rootkit，反而會將 KORKERDS 惡意挖礦程序和 Rootkit 組件清除。

這就很牛掰了，在線上演黑吃黑。

除此之外，該腳本抄襲了Xbash的功能和KORKERDS惡意程序，還會安裝一個挖礦惡意程序，也會將自己植入系統並在crontab當中設定排程以便在重啟後繼續執行，並且防止遭到刪除，此外也將一些記錄文件內容清除為0。

當然，這個腳本並非第一個會清除系統上其他惡意程序的惡意程序，之前的案例卻沒有如此大量清除Linux惡意程序。對於網路犯罪集團來說，清除其他競爭對手的惡意程序只是提高其獲利的手段之一。

另一種好用省事的「抄襲」法是病毒變種。

2017年5月，WannaCry 勒索病毒席捲全球。惡意代碼掃描開放 445 文件共享埠的 Windows 機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。受害者電腦會被黑客鎖定，提示支付價值相當於 300 美元（約合人民幣 2069 元）的比特幣才可解鎖。

至此拉開了一場轟轟烈烈的攻防對抗戰。一邊是安全廠商推出各種防禦殺毒方案，一方面是黑客們搞出的一波又一波變種，「WannaCry 2.0」、「WannaSister」（想妹妹）等等。

甚至事情過去一個月以後，熱門手游《王者榮耀》的外掛竟也被瞄上。

雷鋒網曾在《打個「農藥」就可能被勒索 20 塊，究竟怎麼回事？》一文中描寫過，也許對「永恆之藍」帶來的邪惡影響帶著極其黑暗的崇拜，這款勒索軟體的作者把勒索敲詐頁面做成了高仿電腦版的「永恆之藍」勒索病毒。軟體運行後，安卓手機用戶的桌面壁紙、軟體名稱和圖標會被篡改。手機中的照片、下載、雲盤等目錄下的文件進行加密，並向用戶勒索贖金，金額在 20 元、40 元不等。並且宣稱 3 天不交贖金，價格將翻倍，7 天不交，將刪除所有加密文件。

而這款高防「永恆之藍」也有很多變種，通過生成器選擇不同的配置信息，可以在加密演算法、密鑰生成演算法上進行隨機的變化，甚至可以選擇對生成的病毒樣本進行加固混淆。

更有意思的是，病毒傳播採用了「收徒」制。

1、 病毒作者製作病毒生成器自己使用或授權他人使用；

2、 通過 QQ 群、QQ 空間、或是上傳教學視頻傳播製作教程；

3、 作者徒弟修改病毒生成器，自己使用或是授權他人使用。

彷彿看了一窩傳銷組織……

目前主流的兩個勒索病毒家族是GlobeImposter家族和Crysis家族。這兩個家族幾乎每隔一段時間就會出現新後綴變種。而另一個後來居上的勒索病毒家族是2018年1月首次被發現的GandCrab勒索病毒，其短短數月便歷經3個版本的更迭，迅速發展成為2018年第三大流行勒索病毒家族。

當然。其他勒索病毒家族也沒少閑著，這裡列舉了近年部分勒索病毒變種：

Shifr勒索病毒變種CryptWalker

2018年2月20日，Shifr勒索病毒變種 Cypher 被曝加密文件後，會將文件後綴修改為「. cypher」。根據提示，會向用戶勒索1個比特幣。

Xiaoba勒索病毒變種

Xiaoba勒索病毒變種玩起了二次元風，加密文件後將後綴改為.病名は愛です[BaYuCheng@yeah.net].xiaoba，並在桌面背景顯示一段恐嚇性日文，大意是說看到這段文字的用戶將面臨「死亡」。此外彈出200秒倒計時窗口，要求用戶在規定時間內輸入密碼，否則將被刪除所有文件。

Scarab勒索病毒變種

通常，Scarab勒索病毒是利用Necurs殭屍網路進行傳播的，Necurs是世界上最大的殭屍網路之一，曾用於傳播多個惡意家族樣本。2018年8月，Scarab 勒索病毒出現最新變種，該變種文件加密後綴為.hitler，會通過RDP爆破+人工、捆綁軟體的方式進行傳播。

Satan勒索病毒新變種

作為2018年最為活躍的勒索病毒之一，撒旦（Satan）利用多種漏洞入侵企業內網，給用戶帶來一定的網路安全隱患，甚至造成重大財產損失。2018年10月，國內一大批伺服器遭入侵，經分析確認，發現植入的勒索病毒為最新的Satan4.2勒索病毒變種。

該病毒通過入侵目標計算機遠程桌面進行感染安裝，黑客通過暴力枚舉直接連入公網的遠程桌面服務從而入侵伺服器，獲取許可權後便會上傳該勒索病毒進行感染，勒索病毒啟動後竟然會顯示感染進度等信息。

BlackRouter勒索病毒變種

BlackRouter勒索病毒使用了成熟的.net加密庫，運用AES演算法加密文件、RSA演算法加密 密鑰，在沒有攻擊者私鑰的情況下無法解密文件。該病毒在2018年4月份的舊版本曾偽裝為正常軟體誘導受害者下載，運行之後釋放出正常軟體和勒索病毒，2019年1月初被捕獲到新的病毒變種，目前仍然活躍。

KeyPass勒索病毒變種

2019年1月19日，KeyPass 勒索病毒新變種爆發，該病毒以偽造軟體破解工具或惡意捆綁的方式進行傳播感染，並會偽裝成windows升級更新達到加密目的，用戶感染後文檔文件會被加密，並添加「.djvu 」、「 .tro 」或「.tfude」等後綴。

Xcode事件

除了黑吃黑和變種病毒，也有黑客把心思花在代碼上。

比如曾轟動一時的Xcode事件。蘋果設備上的APP都是由蘋果Xcode開發工具所編寫，但Xcode體積過於龐大，如果在蘋果官方商店安裝會非常緩慢，於是很多開發者會在網盤或迅雷下載。而黑客們就在這些非官方渠道的Xcode藏了殺機，利用開發者感染了企業上架的APP。

整個經過就是：

黑客將包含惡意功能的Xcode重新打包，發到各大蘋果開發社區供人下載；

來自於各企業內的開發者下載安裝了包含惡意代碼的Xcode編寫APP；

惡意Xcode開始工作，向這些APP注入信息竊取功能；

被注入惡意功能的APP通過審核上架蘋果官方商店；

用戶在蘋果商店安裝了這些被感染的APP。

當然，抄得好萬事皆宜，抄得不好那就悲催了。比如有黑客抄襲了有後門的病毒代碼，結果為他人做嫁衣。

總之，黑客們可能比你想的更狡猾，沒有不能抄的病毒，沒有不能改的代碼。豬位吃瓜快樂。

雷鋒網宅客頻道（微信公眾號：letshome），專註先鋒技術，講述黑客背後故事，歡迎關注。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！