Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17683 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
对incaseformat蠕虫事件一些思考
本文来自公众号:安全分析与研究   2021.01.14 13:07:40


安全分析与研究

专注于全球恶意软件的分析与研究

蠕虫事件的一些思考

昨天incaseformat蠕虫病毒在全国爆发,各大安全厂商相继发布公告,安全产业似乎又迎来了新的发展机会......


全国的安全厂商都在报道这个蠕虫事件,估计有一个人会坐立不安,那就是这个病毒的作者,因为如果搞太大了,会不会被抓"进去"过年(开个玩笑)......


其实这个病毒早在2009年就开发出来了,作者估计本来是想在愚人节的时候闹一下,也没想因为一个BUG,这款病毒在12年后会在全国爆发,引起这么大的动静,估计昨天作者看到了各大安全厂商的报道,才知道自己的“作品”受到了这么大的“欢迎”,也许这位作者已经成为了”某个安全厂商“的安全”砖”家,也许这位作者已经转行了,也许这位作者还在从事”黑产“活动,大家自由猜想吧,虽然这款病毒本身没有赢利,然后这也可以按破坏计算机信息系统罪来处置了,这次病毒的影响不亚于当年的”熊猫烧香“,而且两款病毒的技术含量也都很低,这款病毒相比”熊猫烧香“,可能技术含量更低一层了,”熊猫烧香“还多了几个感染、下载、自传播模块,这款病毒是型典的破坏型蠕虫病毒,其实这类病毒在十几年前非常流行,当时有很多U盘蠕虫病毒,十几年过去了,没想到这样的一款简单的蠕虫病毒又在全国有这么大的影响,这究竟是什么原因引起的呢?


笔者从05年开始研究病毒,到现在差不多十几年了,从PC时代(Windows/Linux)病毒到后面研究移动端(安卓,IOS)病毒,OSX(Mac)病毒,以及最近两三年新起的IOT僵尸网络病毒等,从业十几年基本上各个平台的恶意软件都有深入研究,这几年做To B, 主要从事 PC病毒的研究,基于Window/Linux两大平台, 好像又转了一个大圈回来,笔者常常会听到一些人说“现在没有病毒了”,我用“mac"安全,Mac没有病毒,"Linux系统也没有病毒"之类的,其实就是不懂病毒,不懂安全这个行业吧了,不管是几十年前,还是现在计算机病毒一直存在,并没有减少,反而越来越多了,只是因为某些原因关注的人少了,至于原因我后面讲吧,从几十年前DOS平台上COM感染型病毒,到后面Window系统以后的蠕虫病毒,感染型,远控,木马,后门,下载者,DDOS病毒,直到现在最近几年比较流行的挖矿病毒,勒索病毒,IOT僵尸网络病毒,APT特马等等,可以说计算机病毒一直存在,从未消失过,只是在不同的时代,表现形式和攻击方式会有不一样,因为黑产的赢利模式会随着时代的变化而变化,以前大多数黑客写病毒就是为了”好玩“,”炫技“,现在大多数黑客组织只有一个目的就是”赚钱“,还有一些高端的黑客组织会成为国与国之间进行网络安全战争的”特种部队“,这种高端的黑客组织会基于政治和军事目的定向的攻击其他国家的重要政企单位,获得核心数据。


其实蠕虫类,感染型类的病毒,在现在基本没啥意义了 ,因为他们只能造成一些破坏性动作,而且随着操作系统的升级大部分蠕虫,感染型病毒已经失去了作用,只能在一些老的操作系统上运行,基本没啥危害了,现在主要的危害就是勒索病毒,挖矿病毒,僵尸网络和APT特马等。


上面简单给大家科普了一些病毒方向的知识,下面来讲讲这次蠕虫事件引发全国”烘动“,可以从这次现象,看到哪些本质的东西。



通过这次事件,可以说明现在企业病毒真的是太多了,先不要说现在新型窃密,远控,后门和APT特马病毒了,就是很多老的病毒都还没有清理干净,十几年前的很多旧病毒家族,还在国内很多企业中安安静静的”躺着“,那为什么会造成这种形象呢?难倒这些病毒安全厂商就没有办法,其实很多老的病毒,安全厂商都是可以完全清理的,包含各种感染型病毒,蠕虫病毒,只是现在关注病毒的人少了,做病毒研究的人少了吧了,为什么会导致现在这种形象?一个十几年前的蠕虫病毒,究竟能在全国引起这么大的动静,安全圈一直在炒作:大数据,数据安全,然后就是说:传统安全没用之类的,其实这次的安全就是一次”传统“安全的很普通的一次事件,这样的事件,在十几年前的安全厂商病毒研究人员那里,基本上天天会遇到,每天都会分析各种蠕虫病毒,感染型家族样本,以及后面的鬼影病毒等,然而在十几年后的今年,一个十几年前的蠕虫病毒,究竟能引起这么大的影响,to C安全的春天是不是要回来了,哈哈哈哈。


咱先不说老的那些病毒了,什么蠕虫 ,感染型病毒的,其实现在各种新型的病毒很多,为什么现在研究病毒的人少了?大家为啥不关注了,我来说一下自己的一些观点吧。


很多年以前的安全厂商其实大家重点研究的就是病毒,反病毒工程师是每个安全厂商必不可少的职位,反病毒工程师的工作就是每天捕获最新的病毒样本,然后进行逆向分析,提取相应的特征,集成到杀毒软件的引擎里面,这样的日子过的充实而有激情,当年的杀毒软件是付费的,然而突然之间出现了一家厂商免费提供这种服务,于是其他厂商的日子就过的越来越艰难了,然后这家厂商在做大之后,就通过流量广告等等来赚钱,后面也不做安全,去做了其他很多事情,导致其他厂商的安全从业者纷纷转行了,因为”安全“不赚钱,大家都要生存,只能转行了,能坚持做安全的很少很少了,这就导致现在研究病毒的人越来越少了。


研究的人少了,就会认为病毒少了,然后很多人就会说“现在没有病毒了”,再加上一些新型的名词开始炒作,各种新型的产品的推出,大数据,AI加入进来,后面更多的人开始去做大数据,做AI,其实这些人大部分人根本不懂安全,也不懂计算机病毒,然后这批人就会说这是传统安全,我们要做“新型”安全,就变成了现在这个局面,反病毒工程师这个名词在国内基本消失了,现在大家都叫安全分析师,其实真正的安全分析师不就是以前的反病毒工程师吗?然后现在又推出数据安全工程师之类的,总之各种新的名词出现,整个安全行业又重新燃起了希望,to c安全不赚钱,很多以前的安全从业人员,要么去做其他安全了,要么就直接转行做别的了,还有一些做了管理也基本不研究安全技术了,现在又有很多新型的病毒出现,大家就把希望寄托在了大数据,AI安全上面,这样就导致”传统“安全的人越来越少,也就是研究病毒的人越来越少了,很多”新型“的安全研究人员,不太懂病毒,对病毒不了解,也不认识病毒,其实也怪这款病毒太老了,他们没机会认识。


其实不管是to c安全,还是to b安全,安全问题一直没有变化,只是之前关注的人少,现在关注的人多了吧了,就像我说的,现在还有多少企业被攻击监控植入了木马后门,是一个未知数,企业的数据一直被黑客组织监控并获取,安全的路还很长,一次病毒的爆发仅仅是安全问题的冰山一角,其实还有更多的新型病毒被黑客组织研究,用于对一些重要的政企单位进行定向攻击使用,安全的路还很长,路漫漫其修远兮,吾将上下而求索。


基于这次病毒爆发事件,谈谈自己的一些感想,也给大家普及一下病毒的相关知识,借用一句话:这是一个最好的时代,也是一个最坏的时代,历史总是惊人的相似,各种病毒横行,安全未来可期,机会无处不在。


写作于:2021年1月13日,夜。


安全的路很长,贵在坚持

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!