比尔盖子 博客

开发者张峻锋被指参与恶意软件

今天下午,惊闻 MMD 宣布张峻锋(微博:@马鹿峻鋒連聊C)被认定参与了恶意软件的编写。按照我个人的了解,张峻锋在学业之外,积极参与自由软件开发,包括 AOSC 社区的一部分工作,不太可能从事利用蠕虫危害网络安全的事情。因此做了一些调查,事件始末如下。

恶意软件

Malware Must Die(MMD)是一个致力于反恶意软件的安全研究组织,由高水平的黑客组成。他们曾经分析过多种以 Unix/Linux 平台为主的恶意软件。

在 2015 年 1 月 13 日时,MMD 发布了第一份调查报告,发现了一个源自中国,利用刚刚被发现的 Shellshock 漏洞传播的蠕虫,名为 ChinaZ。这个蠕虫大概是在 2014 年 11 月开发的。病毒的目的是建立僵尸网络,发动 DDoS 攻击。在 2015 年 7 月 19 日,MMD 发布了第二份调查报告,表明 ChinaZ 重装上阵,使用了更多的入侵手段。甚至更进一步,ChinaZ 似乎利用僵尸网络提供“DDoS 即服务”。

DDoSClient

同时,有网友告诉 MMD,他发现病毒中 DDoS 攻击的代码完全来自张峻锋在 GitHub 上的项目 DDoSClient,因此被 MMD 认为是恶意软件作者之一。而当 MMD 公布这一发现时,这个项目被删除了。

据 DDoSClient 的 README 说明,DDoSClient 是配合没有发布的 DDoSController 程序进行使用的。由于缺乏信息,DDoSClient 为何会出现在 ChinaZ 恶意软件中的可能性还是有很多种的,例如 ChinaZ 使用了公开的代码。

外包项目

接下来,七只小鸡1997(微博)给我提供了线索。根据他的说法,他和张峻锋在 2014 年 11 月,和 2015 年 2 月到 3 月这两个时间段参与了一个 DDoS 外包项目,费用 2000 元(后通过外包方经财付通支付)。而这个项目的外包者的由来不明,@七只小鸡1997 猜测是个人

他们两人出于学习的目的参与了项目,“顺带把 WinSock 和 MFC 都学会了”。而当时项目结束的时候,实际上程序也是依然不能实际工作的。他们觉得既然做了,不如把程序偷偷放出来。于是就有了 GitHub 上的 DDoSClient。

后来 七只小鸡1997 认为外包方要求的功能灭绝人性,于是就和对方决裂了。之后 @马鹿峻鋒連聊C 是否依然参与就不得而知了。

结论和建议

DDoSClient 第一次出现在 GitHub 上正是在 2014 年末,而且 MMD 发现了两轮病毒日期和外包项目的日期一致。

因此,可以认为张峻锋部分参与了 ChinaZ 恶意程序中 DDoS 模块的编写,然而他并没有参与 ChinaZ 背后“DDoS 即服务”的黑产。程序的最终利用者,或者说外包背后的黑产的详细情况,我们还无从得知。而张峻锋在几个月前似乎因为学业暂时离开了网络,因此暂时无法与他取得联系。

Make a Contract with me and become a software developer

最后,我建议各技术学习者,就算以学习技术为目的:

  • 开发有被恶意利用风险的安全类工具时,开发过程应该完全开放。
  • 开发安全类工具时,最好只停留在 PoC 阶段(proof of concept)
  • 坚决不要为 可疑第三方 提供或开发工具。

免责声明

本报告是根据我个人所了解的情况写成的,虽然我已经对来源进行查证,但依然无法完全保证信息没有被曲解。任何当事人如发现本文偏离事实,应即时告知我,我会立刻进行改正/删除,并对传播错误信息道歉。

Categories: IT生活, Linux

为什么 os.path 可以被直接导入 » « 宣布「盖子 CA」

发表评论

Your email address will not be published.

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Copyright © 2023 比尔盖子 博客

Theme by Anders NorenUp ↑