当前位置:   article > 正文

一个安全圈跑龙套的自白-上

一个安全圈跑龙套的自白-上

此前我写过一篇《一个病毒分析员的自我修养》,后面总感觉差一点什么?于是我把之前的稿子又改了一下,改成了《一个安全圈跑龙套的自白-上》,可能这样更贴切一点,因为我在安全圈从业十年,一直在跑龙套,所以我觉得我就是星爷电影里的那个死跑龙套的,也许尹天仇就是我吧......

跑龙套十年也给我的一些宝贵经验,这些宝贵的经验真的是需要时间去获取,只能自己亲身经历之后能会明白一些道理,之前有人说过一万小时定律,大概就是在一个行业里研究一万个小时,你就会成为这个行业的专家,这十年,花在安全领域的研究我应该是超过了一万小时

安全圈是个什么圈?其实我也不太明白,不过竟然是圈子,就一定会有各种各样的人存在,正所谓林子大了什么鸟都有了,事实上每个圈子都一样,安全圈里各种各样的人我都遇到过,真的是什么样的人都有,我只是这个圈子里的一个跑龙套的,做一点微不足道的安全研究,靠自己的安全能力在这个圈子混口饭吃......

09年大学毕业,一直从事与病毒等恶意软件相关的工作,差不多有十年的工作经验了,这里给大家介绍一些最近比较活跃的恶意软件,以及自己从业的一些心得与体会。

恶意软件已经成为网络安全领域的重点关注对象,事实上全球各地每天都在发生各种网络攻击事件,大部分事件都是通过恶意软件进行攻击,其中以勒索、挖矿、银行木马,以及各种APT远控等盗取客户信息为主。

最近几年勒索病毒太火了,其主要的原因可能就是因为黑客从中获取了巨大的利益,导致勒索病毒攻击也越来越多,使用的攻击手法也各不相同,这种“简单粗爆”“来钱快”的方式正好可以达到黑客的目的,最大限度的获利,现在的黑客团队不像以前只是单纯的为了炫技,更多的是为了获利,而勒索病毒的巨大利益,导致黑客不断开发新的勒索病毒,使用新的方法对各企业进行攻击勒索,可以预见2019年针对企业的勒索病毒攻击会越来越多……

勒索病毒国内主要以”四大家族”勒索病毒为主:Globelmposter、CrySiS、GandCrab、Satan,GandCrab勒索病毒从2018年1月份首次出现V1.0,一直到现在V5.2版本,其中也有多个小版本的出现,也是2018年至今最活跃的勒索病毒,GandCrab5.1版本国外某安全公司公布了相应的解密工具,可以解密GandCrab5.1版本之前的几个版本,但是黑客马上又开发布了最新的GandCrab5.2版本,GandCrab5.2现在仍非常活跃,很多企业中招,主要通过邮件附件等方式进行定向攻击,最新的版本为GanCrab5.3,不过GandCrab已经今年6月1号宣布停止运营了,接管它的是Sodinokibi勒索病毒家族,Globelmposter和CrySiS勒索病毒,主要通过RDP爆破的方式,对国内多家企事业单位进行勒索攻击,Satan勒索病毒利用了多个WEB漏洞以及永恒之蓝进行传播感染,相应的版本也从1.0一直变种到了4.4,也是相当的活跃。

国外最近主要以Ryuk、JCry、LockerGoga、Criakl、Gorgon等勒索病毒家族为主,同时随着.NET框架的流行,以及某NET框架勒索病毒的开源,后期出现了大量使用.NET框架编写的各种勒索病毒。

银行类木马,目前主要以:Emotet、TrickBot、Ursnif(Gozi)等三款主流银行木马为主,其中Emotet是最流行的银行木马,而且相当复杂,基本上每天都有新的变种出现。

挖矿病毒,Windows上最流行的是通过永恒之蓝进行传播的挖矿病毒WannaMiner1.0到WannaMiner4.0挖矿病毒,驱动人生挖矿病毒,无文件类型的挖矿病毒主要以PowerShell无文件方式挖矿病毒样本及其变种为主,由于PowerShell脚本的流行,以及WMI技术的新起,这种类型的挖矿病毒,近几年也是非常流行,Linux上挖矿病毒以DDG家族为主,主要使用sh脚本启动挖矿程序的方式进行挖矿,然后将sh脚本写入到crontab等Linux自启动项进行持久化操作。

Linux下的僵尸网络,主要以:XorDDoS(BillGates),XnoteDDoS这两个家族,基本上Linux上的僵尸网络就以这两个家族为主,其中XorDDoS已经占据Linux DDoS的大片江山了。

最近几年Linux下的挖矿病毒也越来越多,以DDG等Linux下挖矿病毒为主,而且还有出现了几个Linux下的勒索病毒家族,未来针对Linux下的恶意软件应该会越来越多。

感染型蠕虫类病毒,主要以一些比较老的病毒为主,感染型病毒LPK,蠕虫病毒Conficker蠕虫,Morto蠕虫等,虽然这些都是上十年的老病毒,但在用户的机器上仍然活跃着,同时最近几年新的感染型蠕虫类的病毒较少,以老病毒为主。

APT攻击,国内主要以海莲花APT攻击为主,APT攻击主要的在于使用不同的免杀技术,最后释放相应的远控恶意程序,获取客户信息等。

基于IOT工控施备的Mirai蠕虫变种,主要有Persirai、Hajime、DvrHelper、BrickerBot、Omni、OWari、Josho、Qbot、Saikin、Sora等家族,都是基于Mriai的变种,主要利用各种不同的IOT设备漏洞,以IOT DDoS攻击为主。

Android上的病毒以各种截持短信,流氓推广,弹广告,刷流量,刷ROM,以及后面手机端蠕虫,敲诈者,百脑虫,FakeDebugger,GhostPush等为主

OSX平台上以广告和盗取客户信息的恶意样本为主,主要的家族以:WireLurker、XcodeGhost、YiSpecter、ZergHelper、BackStab,、KeyRaider、TinyV的等为主,同时可以预见,在未来随着Mac用户的增多,基于Mac平台的恶意软件也会越来越多。

从事病毒分析这么多年,从windows平台一直做到了iot平台,分析过的样本自己都数不清了,也许我分析过的样本比你听过的还要多,现在主要以Windows/Linux平台的恶意样本为主,从业这么多年,说说自己的一些心得与体会吧,很多人对病毒分析其实并不了解…….恶意样本分析是我认为最有意思的一项安全工作,主要两个原因吧:

1.可以研究最新的安全攻防技术

2.可以在安全的第一线,与黑产面对面

搞逆向调试有时候会很累,有时候很想放弃,可每当拿到一个最新的样本的时候,总忍不住想看看它里面到时是怎么样的?逆向的乐趣在于你可以从任何样本中找到最有价值的东西,同时也是对抗黑产最直接有效的方法,从样本中找答案,知已知彼,心中有数。

研究最新的安全攻防技术,恶意样本的发展也从原来的简单的病毒,木马,后门,僵尸网络等,一直到最近几年比较流行的勒索,挖矿病毒,技术也有了一些新的发展,比方现在比较流行的PowerShell+WMI无文件攻击方式等,同时恶意样本的攻击平台也越来越大,从以前简单的windows/Linux平台,发展到移动互联网平台(Android/iOS),然后到IOT智能设备(类Linux平台)等,不管哪个平台的出现,都会伴随着一大批新型的恶意样本的出现。

恶意样本分析永远在安全的第一线,大部分终端安全问题都是由于恶意样本攻击导致的,同时黑客为了能够可持续发展,会不断的更新它的病毒样本以及使用的病毒植入技术,导致会有不同的新的病毒家族出现或家族变种样本的出现,安全的本质就是直面黑产,人与人的对抗,做黑产的在不断更新,做安全的当然也得时刻跟进,不然就会落后。

做安全的一定要有自己的核心能力,以及足够深的专业的技术,你可能在佣有这项能力和技术之外再去学习扩展其它的,安全的面现在越来越广,现在的安全方向很多,随着时代的发展,也出现了一些新型的大数据安全,区块链安全,人工智能安全等……

安全的发展离不开新的平台的出现,当有新的平台或新的技术出现的时候,就会有新的安全威胁,安全的本质本身就是人与人的对抗,只要有利益,就有人去做黑产,有做黑产的,就一定需安全的。

不管安全怎么发展,它始终离不开扎实的基础安全能力,做安全的一定要把基础打好,有了好的基础,不管你做什么都会很快,不管学什么都会比别人有更深的理解,同时一定要培养自己的核心安全能力,这点很重要,要多动手,多思考,多实战,日积月累,你的安全能力就会越来越强,要努力成为某个领域的专家!

这十年来,我一直在跑龙套,凭自己的安全能力混口饭吃,然后默默研究着自己想研究的一些安全技术,给不同的公司都干过不同的活,就跟电影片场里的跑龙套的差不多,各个片场都呆过,各种角色都演过,却从来没有当过主角,不管在哪家公司,在哪个片场,从事什么样的工作,我从来没有忘记自己的初心,就是做安全研究,踏踏实实研究一些安全技术,研究黑产们都在做什么,去思考怎么去做好安全,以及安全行业的整个发展是怎么样的,未来安全该怎么走?企业安全的出路又在哪?这些我脑子里每天都在想着,思考着,想着想着仿佛自己成了主角......

其实人生就是一场戏,每个人都是演员,不管是主角,还是配角,都要演好自己的戏,安全圈里很多人都有自己的故事,我也有我的故事,争取后面有空再给大家写下一篇吧,下一篇《一个安全圈跑龙套的自白-下》,我会给大家分享一下自己十年跑龙套生涯的点点滴滴和酸甜苦辣......

《一个安全圈跑龙套的自白-下》 敬请期待! 

安全的路还很长,坚持很重要,兴趣也很重要,没有兴趣,很难坚持走下去

没错,我就是安全圈里那个死跑龙套的,但是我会一直坚持做下去,因为人如果没有梦想,那和咸鱼有什么分别?

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/261103
推荐阅读
相关标签
  

闽ICP备14008679号