2001年:“红色代码”〔Code Red〕病毒
“红色代码”病毒是一种新型网络病毒,其传播所运用技术可以百分之百体现网络阶段网络保障与病毒巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创网络病毒传播新路,可称之为划阶段病毒,
Code Red蠕虫能够火速传播,并造成大范围访问速度下降甚至阻断,“红色代码”蠕虫造成破坏最先选是涂改网页,对网络上其它服务器实行攻击,被攻击服务器又可以继续攻击其它服务器,在每月20-27日,向特定IP地址198.137.240.91〔www.whitehouse.gov〕发动攻击,病毒起初于7月19日最先发爆发,7月31日该病毒再度爆发,但由于大多数计算机运用者都提前安装修补软件,所以该病毒第二次爆发破坏层次明显减弱
Code Red采用一种叫做"缓存区溢出"黑客技术,利用网络上运用微软IIS系统服务器来实行病毒传播,这個蠕虫病毒运用服务器端口80实行传播,而这個端口正是Web服务器与浏览器实行信息交流渠道,Code Red最先选有如下特征:攻击IIS服务器,code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
与其它病毒各异是,Code Red并非将病毒信息写入被攻击服务器硬盘,它只是驻留在被攻击服务器内存中,并借助这個服务器网络连接攻击其它服务器,
“红色代码2”是“红色代码”改良版,病毒作者对病毒体作很多改良,同样可以对“红色代码”病毒可攻击联网计算机发动进攻,但与“红色代码”各异是,这种新变型不光只对英文系统发动攻击,而是攻击任何语言系统,况且这种病毒还可以在遭到攻击机器上植入“特洛伊木马”,使得被攻击机器“后门大开”,“红色代码2”持有极强可扩充性,经由程序自行完成木马植入就业,使得病毒作者可以经由改进此程序来达到各异破坏目,当机器日期大于2002年10月时,病毒将强行重启计算机,
2004年:MyDoom蠕虫病毒发生
这是传播最快电子邮件蠕虫病毒,超过“我爱你”病毒,它是迄今为止最具破坏性计算机病毒,已造成几千亿价值美元损失,
2005年:Mytob,结合蠕虫、后门、僵尸网络等功能
在Mytob之前,恶意软件业最先选局限于那些因恶作剧或百分之百好奇心而创建恶意软件狂热者,反而,Mytob变体改变一切,
Mytob结合蠕虫/后门/僵尸网络功能,它是MyDoom一個变种,是由创造Zotob蠕虫同一位程序员创造,Mytob经由两种方法感染受害者设备,它要么经由恶意附件电子邮件到达,要么利用LSASS 〔MS04-011〕协议或RCP-DCOM 〔MS04-012〕中漏洞,并运用远程代码执行,它还利用受害者地址簿传播自己,并经由网络扫描搜索其他设备,看看它们是否大概被攻击,
Mytob是最先個批经由阻止受害者电脑连接到各类更新站点来特意阻止或对抗杀毒软件病毒之一,这是经由将所有已知供应商uri重定向到127.0.0.1〔一個当地主机IP〕来实行,这导致所有面向公众网站查询都被解析到设备自身,
Mytob迄今为止还在活跃,并名列有史以来威胁最大恶意软件前10位,它有很多具有不同样功能变种,反病毒公司经常将.Mytob文件列入黑名单来随时监测,
Zotob变体运用Mytob源代码,并加入MS05-039,这是Windows 2000微软就插就用中一個缓冲区溢出漏洞,Zotob运用这种变体扫描易受MS05-039攻击设备以进一步传播,该病毒经由MS05-039漏洞、MS04-007漏洞,以及邮件实行传播,病毒会向未感染机器发生漏洞溢出数据包,倘若攻击失败,受攻击机器会发生崩溃,发生倒计时对话框,运用者可以经由网路防火墙关闭445连线埠,以阻止攻击,运用者一旦感染该病毒,就会经由IRC被病毒传播者控制,该病毒还会禁止运用者更新保障软体,Mytob、Zotob变种具有让人难以置信破坏性,总共摧毁100個组织运作,
间谍软件、劫持搜索结果阶段 2005年:CoolWebSearch、BayRobMytob
CoolWebSearch,往往被称为“CWS”,是最先個個劫持谷歌搜索结果攻击活动,攻击者将伪装搜索结果代替搜索结果,这是为窃取谷歌点击量,CWS往往是经由驱动下载或广告软件程序来分发,它是这般普遍、难以清除,以至于志愿者们开发程序、管理网络论坛来协助全民免单清除CWS感染,CWS Shredder是CoolWebSearch受害者广泛运用几個程序之一,用来协助修复他们设备,
几年后,也就是2007年,又发生一起类似攻击,它运用一种劫持eBay搜索结果变体,俄亥俄州一名妇女花几千美元买一辆车,但车却没来,当局后来确定,这辆车从未被列入待售名单,况且她设备上有恶意软件,经由BayRob恶意软件将虚假信息注入她设备,美国联邦调查局〔FBI〕、赛门铁克〔Symantec〕多年来耐心地收集证据,最后在2016年将他们逮捕,
CWS周围运用者寻求协助截图〔forums.bleepingcomputer.com〕
2010:Stuxnet
震网〔Stuxnet〕,指一种蠕虫病毒,它复杂层次远超一般电脑黑客本事,这种震网〔Stuxnet〕病毒于2010年6月最先发被检测出现,是最先個個特意定向攻击真实世界中基石〔能源〕设施“蠕虫”病毒,比方说核电站,水坝,国家电网,互联网保障专家对此表达担心,Stuxnet特意针对伊朗组织,但很快蔓延到世界各地其他SCADA系统,对Stuxnet恶意软件分析着重,它不是针对伊朗,可以针对任何运行类似ICS设备组织,2012年,《纽约时报》一篇文章证实,美国、以色列开发Stuxnet病毒,与传统电脑病毒相比,“震网”病毒不会经由窃取個人秘密信息牟利,
由于它打击对象是全球各地要紧意向,因为这個被一些专家定性为全球最先個投入实战舞台“网络武器”,
无需借助网络连接实行传播,这种病毒可以破坏世界各国化工、发电、电力传输企业所运用重心生产控制电脑软件,同阶段替其对工厂其他电脑“发号施令”,
最具毒性、破坏力,“震网”代码非常精密,最先选有两個功能,一是使伊朗离心机运行失控,二是掩盖发生故障情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策误判,在2011年2月攻击中,伊朗纳坦兹铀浓缩基地至少有1/5离心机因感染该病毒而被迫关闭,
“震网”定向明确,具有精确制导“网络导弹”本事,它是特意针对工业控制系统编写恶意病毒,能够利用Windows系统、西门子SIMATICWinCC系统多個漏洞实行攻击,不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害意向,
2011:Regin
Regin是一個高度模块化远程访问木马〔RAT〕,自2008年起,一款名为Regin先进恶意软件就已经被用于针对很多跨国意向系统性间谍活动中,Regin是一款复杂后门木马恶意软件,其结构设计具有世所罕见技术本事,根据攻击意向,Regin具有高度可定制化功能,能够使攻击者经由无敌框架实行大规模监视,同时已经被用于监视政府机关、基石设施运作商、企业、研究机构甚至针对個人间谍活动中,
Regin开发者投入大量心思来隐匿其行踪,这款恶意软件开发时间就算不耗费数年,也大概耗费数月时间来完成,Regin无敌功能、其背后支撑无敌资源说明,这是一款国家级运用要紧网络间谍工具,
这使得它非常灵活,能够适应意向环境,Regin成功还因它运作是无害,被盗窃文件往往保存在一個加密容器中,但所有文件都保存在一個文件中,而不是存储在多個文件中,于是防止引起系统管理员或反病毒软件怀疑,
2012:Flame
Flame被感觉是当时发现最先进恶意软件,它功能齐全,像蠕虫一样可以经由局域网传播,它可以记录、捕捉屏幕截图、音频,它可以窃听、记录Skype对话,它可以把蓝牙就业站转变监听信标,而后可以将文件转移到其他信标,最后将文件发送到预定C2服务器,Flame攻击最先选针对中东地区组织,
勒索软件现代阶段到来2011/12:Reveton
准确地说,Reveton并非互联网阶段最先個個“勒索软件”,反而,Reveton 是现代勒索软件原型,它基本包含现代勒索软件全部要素,比方说锁屏,支付赎金,解密文件等,
另外,Reveton还具备由专业攻击组织运作所有特征,它不光在外观上很专业,况且还最先個次运用模板,锁屏将根据地理位置向运用者显示各异内容,并向受害者显示当地执法机构信息,以及如何付款说明,
带有 MoneyPak 说明 Reveton Ransom 屏幕
2013年:CryptoLocker
CryptoLocker是最先個個要求经由比特币支付勒索软件,解密价格是两個比特币,2013年价格在13美元到1100美元之间,
CryptoLocker比特币赎金
需牢记,当时加密货币还处于起步阶段,让非技术受害者不光支付,况且解如何运用加密货币是一個须要克服障碍,
2013年:DarkSeoul 、Lazarus发生
除勒索软件,2013年还迎来由国家持助邪恶攻击阶段,2013年3月20日,被称为“黑暗最先尔”〔DarkSeoul〕攻击针对是韩国SBS电视台、韩国银行机构,在这次攻击中运用是恶意软件Jokra,针对设备主引导记录〔MBR〕并覆盖它们,很多互联网服务供应商、电信公司、自动取款机运用者也受到影响,因他们网络被切断,这是2014年索尼公司因电影《采访》〔The Interview〕而遭到黑客攻击“拉撒路”〔Lazarus〕所为,Lazarus组织还与2016年针对孟加拉国银行攻击有关,他们试图窃取9.51亿美元,但最后只获得8100万美元,
DarkSeoul攻击镜头
2015年:Browser Locker、伪造技术持助诈骗〔BSOD〕
虽说从技术层面来说,这并非恶意软件,但最先個個技术持助骗局、各类浏览器锁变种最新发生在2015年,这些骚扰性攻击实质上是模仿勒索软件,经由引起受害者恐慌,并拨打持助号码给在不同样国家扮演技术持助角色攻击者,或经由支付加密货币来“清理”他们系统,该方案在已被攻击合法网站上部署恶意JavaScript,这個JavaScript将导致浏览器无法运行,经常以全屏模式显示警告、要求〔支付解锁费,出售虚假修复软件或技术服务,等等〕,这一策略其他变体是蓝屏死机〔BSOD〕显示,这对受害者来说看起来很有说服力,涵盖一個声称是微软技术持助全民免单电话号码,但实际上,它是一個攻击者在国外呼叫腹地,而后,攻击者会试图说服受害者供应对其设备远程访问以实行“修复”,之后,他们会控制受害者设备实行进一步恶意行为,同时对不存在服务收取过高费用,
2016年:最先個個物联网僵尸网络
Mirai是最先個個以物联网设备为意向僵尸网络,虽说它最先选针对网络路由器,但也涵盖其他物联网设备,Mirai最先选是一個DDoS僵尸网络,并参与对Brian Krebs网站krebsonsecurity.com重大攻击,以及负责关闭大量互联网,破坏全球访问、服务,
与传统网络、终端运用者设备不同样,大多数物联网设备不须要维护,也就是说,它们不像电脑或智能手机那样自动接收更新信息,相反,它们经常被忽视,接近从未被更新,往往是因更新须要刷新它们〔意味着脱机,因为这個可以百分之百覆盖软件、固件〕,这大概是不方便,甚至是灾难性,因刷新设备大概会无法正常运用,更糟糕是,很多将物联网设备直接连接到互联网人并未更改他们默认运用者名、密码,Mirai 利用这個漏洞,让它毫无困难地传播,Mirai之所以能引起人们Follow,不光是因它新颖,还因它能够在这般短时间内聚集全球僵尸网络大军,使其能够将全球受感染系统互联网流量重定向到意向网站,这使得它极具难以防御,
2017:ShadowBroker 〔NSA〕, WannaCry, Petya/NotPetya
美国国家保障局〔NSA〕“ShadowBroker”大事是未曾有过,具有毁灭性,不光因它揭露美国政府最高层正在开发秘密恶意软件,还因攻击者有效地重新利用被发布工具、漏洞,这些工具,代号为" Fuzzbunch "是国安局开发一個利用框架,该框架一一部分涵盖名为DoublePulsar恶意软件,这是一种后门攻击,包含臭名昭著“永恒之蓝”漏洞,“永恒之蓝”是美国国家保障局保存一個零日漏洞,其意向是微软SMB〔服务器消息块〕协议〔CVE-2017-0444〕,
它后来被用来传播臭名昭著WannaCry, Petya/NotPetya勒索软件,造成灾难性后果,这些勒索软件变种是这般具有破坏性,以至于它们导致世界各地制造工厂关闭,
纵然加密货币相关威胁起初被归为勒索软件或加密货币钱包盗窃,但2018年引入一种以前从未见过方法,XMRig是一個为Monero加密货币编写矿工应用程序,起初并未恶意,它就业原理是利用设备上未运用CPU周期来协助搞定加密货币挖掘中运用各类数学难题,反而,攻击者开始偷偷地在被攻击设备、设备上安装XMRig,而后收集数据,
各类攻击者所利用常见漏洞利用Apache Struts、Oracle Weblogic、Jenkins服务器中已知漏洞,这些漏洞之所以变成意向,还因它们可以远程利用,更糟糕是,很多这些面向互联网设备也不太大概被修补,大概是因粗心或懒惰,于是让攻击者利用它们牟利,将XMRig纳入攻击各类活动还经由恶意Android APK、docker容器、针对NPM〔节点包管理器〕供应链攻击等方法针对移动设备,
2019年:GandCrab、勒索软件作为一种服务发生
GandCrab经由向大众供应收费勒索软件,掀起新一轮攻击浪潮,升级攻击数量、攻击感召力,GandCrab试图做两件事:远离对组织实际攻击,创造更多进账,它完善被称为“Ransomware-as-a-Service 〔RaaS〕”商业模式,RaaS让GandCrab开发者们共享自己成果,而后他们从中抽奖实际赎金25%到40%,
事实证明,这对双方来说都是有利可图,因开发者无需承担探寻、感染意向风险,而运用机构也无需自己花时间开发勒索软件,GandCrab后来在2019年6月宣布停产,声称自己净赚20亿美元,很大概是因他们感受到当局压强,反而,GandCrab开发者后来与Sodonikibi、REvil攻击者又联系在一起,自GandCrab以来发生其他值得注意RaaS变体有BlackCat、Conti、DarkSide、Lockbit等,
总结
从1971年到2000年初,恶意软件最先选是由病毒开发者实行恶作剧、尝试,看看他们创造东西是否能就业,近20多年,咱们可以看到攻击已经从恶作剧演变为涵盖有利可图攻击、国家持助攻击,同样地,术语由起初“病毒”转变现在“恶意软件”。
参考及来源:https://www.fortinet.com/blog/threat-research/evolution-of-malware