今天下午,惊闻 MMD 宣布张峻锋(微博:@马鹿峻鋒連聊C)被认定参与了恶意软件的编写。按照我个人的了解,张峻锋在学业之外,积极参与自由软件开发,包括 AOSC 社区的一部分工作,不太可能从事利用蠕虫危害网络安全的事情。因此做了一些调查,事件始末如下。
恶意软件
Malware Must Die(MMD)是一个致力于反恶意软件的安全研究组织,由高水平的黑客组成。他们曾经分析过多种以 Unix/Linux 平台为主的恶意软件。
在 2015 年 1 月 13 日时,MMD 发布了第一份调查报告,发现了一个源自中国,利用刚刚被发现的 Shellshock 漏洞传播的蠕虫,名为 ChinaZ。这个蠕虫大概是在 2014 年 11 月开发的。病毒的目的是建立僵尸网络,发动 DDoS 攻击。在 2015 年 7 月 19 日,MMD 发布了第二份调查报告,表明 ChinaZ 重装上阵,使用了更多的入侵手段。甚至更进一步,ChinaZ 似乎利用僵尸网络提供“DDoS 即服务”。
DDoSClient
同时,有网友告诉 MMD,他发现病毒中 DDoS 攻击的代码完全来自张峻锋在 GitHub 上的项目 DDoSClient,因此被 MMD 认为是恶意软件作者之一。而当 MMD 公布这一发现时,这个项目被删除了。
据 DDoSClient 的 README 说明,DDoSClient 是配合没有发布的 DDoSController 程序进行使用的。由于缺乏信息,DDoSClient 为何会出现在 ChinaZ 恶意软件中的可能性还是有很多种的,例如 ChinaZ 使用了公开的代码。
外包项目
接下来,七只小鸡1997(微博)给我提供了线索。根据他的说法,他和张峻锋在 2014 年 11 月,和 2015 年 2 月到 3 月这两个时间段参与了一个 DDoS 外包项目,费用 2000 元(后通过外包方经财付通支付)。而这个项目的外包者的由来不明,@七只小鸡1997 猜测是个人。
他们两人出于学习的目的参与了项目,“顺带把 WinSock 和 MFC 都学会了”。而当时项目结束的时候,实际上程序也是依然不能实际工作的。他们觉得既然做了,不如把程序偷偷放出来。于是就有了 GitHub 上的 DDoSClient。
后来 七只小鸡1997 认为外包方要求的功能灭绝人性,于是就和对方决裂了。之后 @马鹿峻鋒連聊C 是否依然参与就不得而知了。
结论和建议
DDoSClient 第一次出现在 GitHub 上正是在 2014 年末,而且 MMD 发现了两轮病毒日期和外包项目的日期一致。
因此,可以认为张峻锋部分参与了 ChinaZ 恶意程序中 DDoS 模块的编写,然而他并没有参与 ChinaZ 背后“DDoS 即服务”的黑产。程序的最终利用者,或者说外包背后的黑产的详细情况,我们还无从得知。而张峻锋在几个月前似乎因为学业暂时离开了网络,因此暂时无法与他取得联系。
最后,我建议各技术学习者,就算以学习技术为目的:
- 开发有被恶意利用风险的安全类工具时,开发过程应该完全开放。
- 开发安全类工具时,最好只停留在 PoC 阶段(proof of concept)
- 坚决不要为 可疑 的 第三方 提供或开发工具。
免责声明
本报告是根据我个人所了解的情况写成的,虽然我已经对来源进行查证,但依然无法完全保证信息没有被曲解。任何当事人如发现本文偏离事实,应即时告知我,我会立刻进行改正/删除,并对传播错误信息道歉。
2015年08月17日 — 17:14
额,看个微博都得翻墙!
2015年08月04日 — 17:41
看过留名,支持下
2015年07月26日 — 22:04
我做了个英文版翻译 https://www.tombu.biz/contents/student-developer-junfeng-zhang-developing-ddos-malware/
2015年07月26日 — 17:47
typo:”线所”
2015年07月26日 — 17:49
fixed, thx.