黑客无节操评比：替换矿工的收款二维码 VS 搞瘫路由器的“爱国者”

经常走夜路的人，容易遇见鬼。

对监测网络安全威胁的人来说，遇见一两个掉节操的攻击者，这绝对是大概率事件。不过，让360网络安全研究员李丰沛哭笑不得的是，最近有两个黑客节操掉到让人心疼，一时间他还难以在两者中评出高下。

要不……我们来看下这两个黑客的故事，再来投票。

居然替换矿工的“收费二维码”

以前，宅客频道（微信ID：letshome）给大家科普过，自从美国东部大断网后，规模更大的僵尸网络层出不穷。其中，规模大到吓人的一个是 Mirai僵尸网络的一个变种，叫做 Satori，还有人又把这个 Satori 叫做 Okiru。

八卦一下，Satori 是日本禅宗用语，Okiru 也是一个日语发音，安全研究员们因此有个小小的猜想，这个僵尸网络的作者可能是个日本文化的痴迷者。

言归正传，本来安全研究员正在监测 Satori 的进展，因为 Satori规模实在很大，大家对它的一举一动很关心，生怕沉寂的僵尸网络一下变得活跃，那么下一场大断网就不知道发生在哪里了。

大家很担心，于是各方联合绞杀，封堵 Satori 利用的网络端口。眼看着，Satori 感染的路由器速度降了下来，各方倍感欣慰。

不料，李丰沛等人最近突然发现：咦，Satori 这货最近要搞事啊！原来，他们监测到了一个 Satori 的变种：Satori.Coin.Robber。

看名字就知道，这个家伙跟偷东西有关。不过，它偷的竟是数字货币，让安全研究员都吃了一惊的是，这货的行为实在太掉节操——如果是黑了别人设备用来做挖矿，这种僵尸网络还是挺多的，但是靠黑别人的挖矿机器，把钱包地址改成自己的，这这这，看惯了黑产大千世界的李丰沛都觉得，闻所未闻啊！

这好比原先直接抢钱的，这回把商户的收费二维码变成自己的，回头别人付费时，钱流到了自己的口袋。

当然，你要说了，你凭什么说这个变种就是 Satori 的变种？

凡事讲证据。

原来，这两个僵尸网络的代码有一个共同特征：有一个对二进制的 UPX加壳，使用了一个随机数，用随机数作为加壳的钥匙。李丰沛等人分析后，发现两个版本的代码的随机数是一模一样的。

“一般这个证据就已经很强了，再加上其他的辅助的证据，我们认为，这次的 Satori.Coin.Robber 和我们上次报告的 Satori应该是同一个人或者同一伙人做的。”李对说。

这事还有个搞笑的后续。

李丰沛等人发表了该变种的报告后，在推特上转发了这次报告的内容。不料，这个报告里有一个邮件地址，这个邮件地址被 Satori.Coin.Robber的作者留在了服务器控制信息端，作者还留下了这样的信息： 盆友，你看到这段信息不要慌张，这次变种里没有恶意打包、发包的功能，也就是不会搞DDoS，所以你要是有什么问题可以联系我，我留了一个邮件地址哦。

Satori dev here, dont be alarmed about this bot it does not currently haveany malicious packeting purposes move along. I can be contacted atcurtain@riseup.net .

这则推文发出去后，一个用户艾特了 360： “你看吧，都是你们，现在都已经有媒体开始发邮件问我到底是怎么回事呢，还有号称是PCMagazine的媒体记者发邮件给我。”

这个用户还专门提供了一个截图，表示自己受到了记者的骚扰。

为了防止网友给自己加戏，冒充作者联系360，李丰沛专门分析了邮件地址和邮件行文，与作者在代码中留下的邮件行文进行对比，最后终于确认，这个推特用户真的是Satori 的变种以及 Satori 的作者！

不过，更搞笑的是，由于这个替换矿机钱包地址的变种被发现得太快， Satori.Coin.Robber 的生意并不太好，到目前为止，这个钱包地址只收到了一个ETH 币。

看来，这个僵尸网络变种作者的发财梦要落空了。

戏精“爱国者”发表“真假”宣言

2016年，出现了一个与路由器漏洞有关的 BrickBot 的僵尸网络。这个僵尸网络真的能让设备变“僵尸”：利用一些已知的设备漏洞黑进去，把设备里面的文件删掉，删掉以后重启，然后设备肯定起不来了，里面的系统信息都被删掉，这个系统变砖了。

搞僵尸就搞僵尸，怎么还彻底把设备变砖呢？安全社区都对这个作者的动机好奇了，有人说，其实作者是希望通过让用户的设备变砖这种极端手段，让用户意识到它的设备有问题，最终给设备打上补丁，升级到一个比较安全的版本。

还有这么“好心”的僵尸作者？

李丰沛等人注意到这件事情是在2017年12月底，他们发现，这个僵尸网络的源代码在网上泄露了。

这就好玩了——一般这种源代码只有作者本人才知道，那么，很可能是作者自己放出来的。李等人一研究，发现这个变砖的路由器与 Satori针对的某中国品牌路由器是同一系列。后来，他们又发现，BrickBot 的作者是想甩手不干，自此远离江湖，所以放出了源代码。

不过，让人感慨的是，该作者还写了一份隐退宣言，描述自己的心路历程。

下面，提炼下该宣言的几个要点：

1.作者把自己定义成一个爱国者，并表示，他做这件事情是希望能通过自己的行动，使得供应链、消费者和整个监管机构都能够重视 IoT 的安全问题。

2.他公布了一个混淆后的源代码，该代码不能直接利用，但其中含有大量的弱口令、漏洞利用的攻击手段，别人可以使用这些攻击手段构建自己的僵尸网络。这意味着，作者给世界的各个角落又埋下了炸弹。

3.作者承认，有些攻击是自己做的，比如，去年 11 月的德国断网，他让设备变砖了。

但是，有意思的是，这个隐退宣言可能“真假参半”。对于前两者，基本上没什么疑问。但是对于第三点，作者承认做了的一些攻击却可能是为自己“加戏”。

2017 年 1月，华盛顿特区有部分摄像头变砖，这件事情在美国影响比较大，因为华盛顿特区是美国首都，摄像头可以变砖，意味着摄像头可以用来看别人的东西。BrickBot的作者就宣称——这是我让它们变砖的。

3月，他开始看 AVtech 和 Wi-Fi Cam 这两组设备，并暗示这些设备将影响机场和其它重要的基础设施，比如核武器的安全。2017 年 4月，美国国土安全部（DHS）发了一个针对 BrickBot 作者该言论的警告。

作者本来觉得自己是好意，但却受到了自家政府的打脸和警告，“爱国心”碎成了渣，这也是他萌生退意的开始。

到了 2017年夏天，作者持续升级自己的武器库，开始关注所谓的亚洲太平洋地区网络协调中心下面的网络，包括中国、印度、东南亚、澳大利亚、新西兰等国家。他说，自己让几十万台BSNL 和 MTNL 的设备下线——剧情开始走向玄幻，李丰沛对这个数据是存疑的，因为他们没有监测到实际的数字。

作者又称，自己在印度弄出了很大的动静，也上了很多的新闻头条——但考虑到当时印度和中国在地缘政治上非常紧张，他“好心”地摆摆手：这件事跟这两个国家没关系，不要影响两国关系，都是我本人干的。

这个作者抖出了更多的料。

8月，他看到了一个名为 CVE-2017-7921 的漏洞，在分析这个漏洞的过程中，他发现海康威视有一个未公开漏洞（0day），这件事情把作者吓坏了——他有一个比较重要的观点，上一次的互联网大灾难是美国断网，离下一次的大灾难也就是一两个 0day 的距离。

BrickBot 的作者又开始了他的“好心”，花了差不多三周，把海康和大华约100万个的摄像头弄失效了，大华和海康因为此事还发了公告，最终整个设备进行了固件升级。但戏精作者依然不满意，认为整个设备升级的过程比较混乱，所以他专门在Pastebin上发表了一篇文章给大华、海康等厂商参考。

至此，两个让人目瞪口呆的僵尸网络作者的故事结束。我们来投个票吧~

你觉得上述哪个僵尸网络作者更没有节操？

A.偷换钱包地址的 Satori.Coin.Robber 作者

B.“爱国心”爆棚的 BrickBot 作者

C.两人不相上下，推荐参加“戏精的诞生”