經常走夜路的人，容易遇見鬼。

對監測網絡安全威脅的人來說，遇見一兩個掉節操的攻擊者，這絕對是大概率事件。不過，讓360 網絡安全研究員李豐沛哭笑不得的是，最近有兩個黑客節操掉到讓人心疼，一時間他還難以在兩者中評出高下。

　　要不……我們來看下這兩個黑客的故事，再來投票。

居然替換礦工的“收費二維碼”

以前，雷鋒網宅客頻道（微信ID：letshome）給大家科普過，自從美國東部大斷網后，規模更大的僵尸網絡層出不窮。其中，規模大到嚇人的一個是 Mirai 僵尸網絡的一個變種，叫做 Satori，還有人又把這個 Satori 叫做 Okiru。

八卦一下，Satori 是日本禪宗用語，Okiru 也是一個日語發音，安全研究員們因此有個小小的猜想，這個僵尸網絡的作者可能是個日本文化的癡迷者。

言歸正傳，本來安全研究員正在監測 Satori 的進展，因為 Satori 規模實在很大，大家對它的一舉一動很關心，生怕沉寂的僵尸網絡一下變得活躍，那么下一場大斷網就不知道發生在哪里了。

大家很擔心，于是各方聯合絞殺，封堵 Satori 利用的網絡端口。眼看著，Satori 感染的路由器速度降了下來，各方倍感欣慰。

不料，李豐沛等人最近突然發現：咦，Satori 這貨最近要搞事啊！原來，他們監測到了一個 Satori 的變種：Satori.Coin.Robber。

看名字就知道，這個家伙跟偷東西有關。不過，它偷的竟是數字貨幣，讓安全研究員都吃了一驚的是，這貨的行為實在太掉節操——如果是黑了別人設備用來做挖礦，這種僵尸網絡還是挺多的，但是靠黑別人的挖礦機器，把錢包地址改成自己的，這這這，看慣了黑產大千世界的李豐沛都覺得，聞所未聞啊！

這好比原先直接搶錢的，這回把商戶的收費二維碼變成自己的，回頭別人付費時，錢流到了自己的口袋。

　　當然，你要說了，你憑什么說這個變種就是 Satori 的變種？

凡事講證據。

原來，這兩個僵尸網絡的代碼有一個共同特征：有一個對二進制的 UPX 加殼，使用了一個隨機數，用隨機數作為加殼的鑰匙。李豐沛等人分析后，發現兩個版本的代碼的隨機數是一模一樣的。

“一般這個證據就已經很強了，再加上其他的輔助的證據，我們認為，這次的 Satori.Coin.Robber 和我們上次報告的 Satori 應該是同一個人或者同一伙人做的。”李對雷鋒網說。

這事還有個搞笑的后續。

李豐沛等人發表了該變種的報告后，在推特上轉發了這次報告的內容。不料，這個報告里有一個郵件地址，這個郵件地址被 Satori.Coin.Robber 的作者留在了服務器控制信息端，作者還留下了這樣的信息：盆友，你看到這段信息不要慌張，這次變種里沒有惡意打包、發包的功能，也就是不會搞 DDoS，所以你要是有什么問題可以聯系我，我留了一個郵件地址哦。

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at [email protected] .

這則推文發出去后，一個用戶艾特了 360：“你看吧，都是你們，現在都已經有媒體開始發郵件問我到底是怎么回事呢，還有號稱是PC Magazine的媒體記者發郵件給我。”

這個用戶還專門提供了一個截圖，表示自己受到了記者的騷擾。

為了防止網友給自己加戲，冒充作者聯系360，李豐沛專門分析了郵件地址和郵件行文，與作者在代碼中留下的郵件行文進行對比，最后終于確認，這個推特用戶真的是 Satori 的變種以及 Satori 的作者！

不過，更搞笑的是，由于這個替換礦機錢包地址的變種被發現得太快， Satori.Coin.Robber 的生意并不太好，到目前為止，這個錢包地址只收到了一個 ETH 幣。

看來，這個僵尸網絡變種作者的發財夢要落空了。

戲精“愛國者”發表“真假”宣言

2016年，出現了一個與路由器漏洞有關的 BrickBot 的僵尸網絡。這個僵尸網絡真的能讓設備變“僵尸”：利用一些已知的設備漏洞黑進去，把設備里面的文件刪掉，刪掉以后重啟，然后設備肯定起不來了，里面的系統信息都被刪掉，這個系統變磚了。

搞僵尸就搞僵尸，怎么還徹底把設備變磚呢？安全社區都對這個作者的動機好奇了，有人說，其實作者是希望通過讓用戶的設備變磚這種極端手段，讓用戶意識到它的設備有問題，最終給設備打上補丁，升級到一個比較安全的版本。

還有這么“好心”的僵尸作者？

李豐沛等人注意到這件事情是在2017年12月底，他們發現，這個僵尸網絡的源代碼在網上泄露了。

這就好玩了——一般這種源代碼只有作者本人才知道，那么，很可能是作者自己放出來的。李等人一研究，發現這個變磚的路由器與 Satori 針對的某中國品牌路由器是同一系列。后來，他們又發現，BrickBot 的作者是想甩手不干，自此遠離江湖，所以放出了源代碼。

不過，讓人感慨的是，該作者還寫了一份隱退宣言，描述自己的心路歷程。

下面，雷鋒網(公眾號：雷鋒網)提煉下該宣言的幾個要點：

1.作者把自己定義成一個愛國者，并表示，他做這件事情是希望能通過自己的行動，使得供應鏈、消費者和整個監管機構都能夠重視 IoT 的安全問題。

2.他公布了一個混淆后的源代碼，該代碼不能直接利用，但其中含有大量的弱口令、漏洞利用的攻擊手段，別人可以使用這些攻擊手段構建自己的僵尸網絡。這意味著，作者給世界的各個角落又埋下了炸彈。

3.作者承認，有些攻擊是自己做的，比如，去年 11 月的德國斷網，他讓設備變磚了。

但是，有意思的是，這個隱退宣言可能“真假參半”。對于前兩者，基本上沒什么疑問。但是對于第三點，作者承認做了的一些攻擊卻可能是為自己“加戲”。

2017 年 1 月，華盛頓特區有部分攝像頭變磚，這件事情在美國影響比較大，因為華盛頓特區是美國首都，攝像頭可以變磚，意味著攝像頭可以用來看別人的東西。BrickBot 的作者就宣稱——這是我讓它們變磚的。

3月，他開始看 AVtech 和 Wi-Fi Cam 這兩組設備，并暗示這些設備將影響機場和其它重要的基礎設施，比如核武器的安全。2017 年 4 月，美國國土安全部（DHS）發了一個針對 BrickBot 作者該言論的警告。

作者本來覺得自己是好意，但卻受到了自家政府的打臉和警告，“愛國心”碎成了渣，這也是他萌生退意的開始。

到了 2017 年夏天，作者持續升級自己的武器庫，開始關注所謂的亞洲太平洋地區網絡協調中心下面的網絡，包括中國、印度、東南亞、澳大利亞、新西蘭等國家。他說，自己讓幾十萬臺 BSNL 和 MTNL 的設備下線——劇情開始走向玄幻，李豐沛對這個數據是存疑的，因為他們沒有監測到實際的數字。

作者又稱，自己在印度弄出了很大的動靜，也上了很多的新聞頭條——但考慮到當時印度和中國在地緣政治上非常緊張，他“好心”地擺擺手：這件事跟這兩個國家沒關系，不要影響兩國關系，都是我本人干的。

　　這個作者抖出了更多的料。

8月，他看到了一個名為 CVE-2017-7921 的漏洞，在分析這個漏洞的過程中，他發現海康威視有一個未公開漏洞（0day），這件事情把作者嚇壞了——他有一個比較重要的觀點，上一次的互聯網大災難是美國斷網，離下一次的大災難也就是一兩個 0day 的距離。

BrickBot 的作者又開始了他的“好心”，花了差不多三周，把海康和大華約 100萬個的攝像頭弄失效了，大華和海康因為此事還發了公告，最終整個設備進行了固件升級。但戲精作者依然不滿意，認為整個設備升級的過程比較混亂，所以他專門在Pastebin上發表了一篇文章給大華、海康等廠商參考。

至此，兩個讓人目瞪口呆的僵尸網絡作者的故事結束。我們來投個票吧~

你覺得上述哪個僵尸網絡作者更沒有節操？

A.偷換錢包地址的 Satori.Coin.Robber 作者

B.“愛國心”爆棚的 BrickBot 作者

C.兩人不相上下，推薦參加“戲精的誕生”