软件进化史：从简单的加密到多重

软件进化史：从简单的加密到多重

软件的演变是过去三十年来网络安全领域最重要的转变之一。软件从 1990 年代作为一种相对粗糙的数字形式开始，已经演变成一种复杂的、价值数十亿美元的威胁。从 1989 年的艾滋病木马开始 — 一种要求受害者向巴拿马的邮政信箱邮寄 189 美元的原始攻击 — 已经演变成采用高级加密、双重策略和加密货币支付的高度协调行动。

这种戏剧性的演变不仅反映了技术进步，还反映了网络犯罪本身的性质不断变化，因为投机取巧的个人已经让位于以商业效率运作的专业犯罪企业。通过研究 1990 年代到 2024 年的关键软件样本和分水岭时刻，我们可以追踪这种威胁如何从根本上重塑网络安全实践并迫使组织重新考虑其数据保护方法。

软件的起源：AIDS 木马

随着 1989 年艾滋病木马（通常称为 PC Cyborg）的推出，软件首次出现。这是世界上第一个有记录的软件实例。该木马被世界卫生组织使用 20,000 张受感染的软盘发送给在斯德哥尔摩举行的全球艾滋病会议的参与者。该恶意软件由 Joseph Popp 博士创建，并入到磁盘上的艾滋病调查问卷中。

该软件起初似乎是无害的，但在 90 次电脑重启后，恶意软件加密了文件名并显示出赎金要求。为了恢复对他们系统的访问，受害者被告知将 189 美元存入巴拿马的邮政信箱。尽管这次攻击在当时是新颖的，但以今天的标准来看，它已经过时了。受害者遵守要求是有问题的，因为软件加密的是文件名而不是其内容，而且支付方式依赖于海外汇票。

尽管很少有受害者支付赎金，但由于其影响力而不是经济上的成功，这次攻击引起了很多关注。在某些情况下，受害者会因擦除和重装计算机而丢失重要的研究数据。值得庆幸的是，后来出现了一个解密器，允许受害者无需付费即可检索他们的文件。

尽管 AIDS 木马是一种开创性的网络攻击，但它仍然是一个单一的事件。在 1980 年代和 1990 年代，软件并不是一种常见的危险，因为数字支付选择很少，也没有广泛的互连网络。这些年对于恶意软件的发展至关重要，为后来几十年更先进、更具破坏性的软件工作奠定了基础。

软件演变的早期 （2004–2007）

2004-2005 年，软件历史上的一个重要转折点发生在 2000 年代初期，当时 GPCoder 成为当代软件爆发的重要先驱。 GPCoder 于 2005 年被发现，用于加密重要数据文件，包括数据库、电子表格和文档。它的策略包括在受影响的目录中放置赎金票据，要求西联汇款或高级支付 200 美元，尽管当时它并未被正式归类为软件。这一策略为即将到来的软件攻击奠定了基础。

2005-2006年，RSA 非对称加密的使用是 Archievus 在 2005 年推出的一项重大进步。它只影响“我的文档”文件夹中的文件，为了解密他们的数据，受害者必须支付某些购买费用。在其详尽的说明中，Archievus 警告受害者不要依赖外部援助或系统备份，并重申一旦发现外部介入则数据永远无法还原等内容。尽管技术取得了进步，但它的影响力受到一个关键设计缺陷的限制：所有受害者都使用了相同的解密密码。

2007 年，Locker 软件的出现，Locker 软件变体于 2007 年推出，极大地改变了软件的战场。与基于加密的攻击相比，这些攻击试图通过关闭键盘和鼠标等必要功能来将受害者完全锁定在他们的设备之外。这些变体通常针对俄罗斯用户，通过使用激进的策略（例如显示图像）胁迫受害者遵守。早期的软件开发人员使用了各种货币化技术，比如通过高费率电话或 SMS 消息提出的付款请求等。

加密货币和 RaaS

随着网络犯罪的发展，攻击者不断变化，以增加收入并避免被发现。Vundo 是一种软件，可加密受害者的文件并要求付费才能解密，于 2009 年首次出现。

2010 年加密货币的出现进一步改变了游戏规则，为犯罪分子提供了一种去中心化的、通常无法追踪的支付方式。由于比特币允许即时跨境支付，因此尤其成为软件的首选货币，使执法部门更难追踪非法活动。

随着 2012 年软件即服务 （RaaS） 的推出，软件商业模式不断发展。这种方法首先被 Reveton 软件使用，它假装是执法人员，威胁受害者，除非他们支付赎金，否则将承担法律后果。这一发展不仅使软件更容易传播，而且还通过降低技术障碍使新黑客更容易进入市场。

恐吓软件在那一年是一个有利可图的策略。与传统软件相比，恐吓软件使用心理操纵来索要钱财，以逃避所谓的惩罚并显示虚构的执法警告。恐吓软件是网络犯罪生态系统中的一种独特现象，尽管其意图与软件相似。这是由于它依赖于基于恐惧的欺骗。

软件呈上升趋势

软件在 201 年至 2016 年期间发生了重大变化，这导致当代软件成为一种反复出现的全球威胁。此时软件攻击的范围不断扩大，不仅针对 Windows 计算机，还针对其他操作系统和各种设备。CryptoLocker 是一种软件样本，说明了基于加密的的破坏力，此样本的出现具有里程碑意义。由僵尸网络和网络钓鱼分发的 CryptoLocker 使用公钥-私钥加密锁定受害者的文件，并要求在短时间内付款，最初是 00 美元的比特币或 MoneyPak。

有了 CryptoLocker，软件发生了翻天覆地的变化。在实施方面，它为即将到来的软件变体提供了模型。联邦调查局认为，截至 2015 年底，受害者已经支付了超过 2700 万美元。由于如此数量，软件的出现呈爆炸式增长，在接下来的几年里，出现了许多变化。

CryptoLocker 的出现还使得网络安全公司与执法部门之间不断扩大合作。支持 CryptoLocker 的基础设施于 2014 年被一家跨国企业关闭，其中包括包括 US-CERT 和 Europol 在内的私营企业和组织。其幕后主使者、俄罗斯国民 Evgeniy Mikhailovich Bogachev 被指控但没有被抓到，但下架大大降低了 CryptoLocker 的影响。

CryptoLocker 时代展示了软件犯罪者的狡猾和灵活，以及成功打击网络犯罪国际合作的必要性。当前虽然CryptoLocker已经销声匿迹，它带来的基本思想仍然影响着今天的软件活动。

随着 Locky 和 Petya 等主要样本在规模和复杂性方面都取得了显著发展，到 2016 年，软件已成为一种可怕的网络威胁。当 Locky 最初在那一年被揭露时，它立即以其激进的传播策略而闻名，其中包括广泛的网络钓鱼工作。

Petya 带来了软件功能的范式飞跃。Petya 以主引导记录 （MBR） 和主文件表 （MFT） 为目标，而其前身主要加密单个文件。它表明，它可以通过阻止受害者访问其整个系统来更成功地使组织无法运营，并且它要求更高的赎金以换取恢复访问权限。

Cerber、TeslaCrypt 和 Jigsaw 等其他软件感染也在此时激增，这使得 2016 年被称为“软件之年”。这些变体通过利用网络钓鱼策略、漏洞利用工具包和恶意广告中的缺陷肆意地感染计算机。所有这些行动共同推动了软件的发展，付款总额首次超过 10 亿美元。

政府登台：otPetya 和 WannaCry

软件发展及其对网络安全和地缘政治的更广泛影响的另一个重要转折点是 2017 年的事件。两个著名的实例 WannaCry 和 otPetya 证明了软件的破坏性潜力，这也为网络行动带来了新的复杂程度，包括国家资助的行为。

在感染了 150 多个国家/地区的数十万个系统后，WannaCry 迅速引起了国际关注。WannaCry 通过使用 EternalBlue 漏洞自行传播为蠕虫，EternalBlue 漏洞是 SA 发布的 Microsoft 服务器消息块 （SMB） 协议中的一个缺陷。安全研究员 Marcus Hutchins 发现了一个终止开关，它可以阻止攻击的传播并减轻其影响，尽管其影响遍及全球。由于没有有效的解密密钥，用户无法恢复他们的数据。到年底，一些政府将 WannaCry 归咎于朝鲜，凸显了它在国家支持的网络攻击中作为软件前体的重要性。

在很短的时间内，otPetya 出现了，一个完全不同的病毒，但操作方法表面上相似。虽然它伪装成软件，但它更像是一个擦除器，即使支付了赎金，数据也无法恢复。除了其他漏洞外，攻击也利用了 EternalBlue。它是通过乌克兰流行的会计程序 M.E.Doc 的黑客更新过的版本传播的。otPetya 最初专注于乌克兰的基础设施，例如金融、能源和政府部门，后来迅速扩展到乌克兰以外，并干扰了许多企业的国际业务。在金融的幌子下，恶意软件可能被用作破坏地缘政治的工具，2018 年初将攻击归咎于俄罗斯国家行为者就证明了这一点。

这些活动凸显了网络安全方面的重要发展。他们展示了最初出于情报原因而制造的漏洞如何转化为武器并在全球范围内使用。此外，网络技术对国际冲突和战略至关重要的时代，国家资助的行动与常规网络犯罪之间的界限变得模糊。otPetya 强调了软件可能产生更广泛的地缘政治影响，在接下来的几年里改变了国家和企业对网络安全的看法，而 WannaCry 则使软件成为一个被广泛认可的问题。

软件运营者以大玩家为目标

到 2018 年，软件操作已从随意的攻击发展为更具针对性的高价值实体，包括运输网络、医疗提供商、州和地方政府以及工业公司。这一变化有时被称为“大型猎物狩猎”，标志着一种战略转变，攻击者将拥有大量资源和重要运营的组织作为目标，以增加其收入。随后对受影响公司的影响非常严重，包括财务压力、声誉损害和运营困难。

大约在同一时间，软件策略中包含了不同的数据泄露技术，使它们变得更加复杂。像 GrandCrab RaaS 这样的样本将文件加密与数据功能相结合，是这种进步的主要例子。在加密受害者的系统之前，攻击者使用这些工具提取凭据、私人文件、屏幕截图和其他重要数据，从而增加了威胁和要求的可能。

双重技术的出现

Maze 软件开始更多地使用双重。除了加密受害者的档案外，这种策略还包括窃取私人信息并威胁要发布这些信息，直到进一步支付赎金。因为即使是拥有强大恢复系统的企业也面临着被盗数据被公开的风险，因此这项创新使标准备份计划变得不够用。其他软件组织很快采用了这种策略，这增加了受害者遵守赎金要求的压力。

2019 年至 2020 年间，作为这一发展的一部分，特定的泄漏站点开始出现在上。这些平台充当被盗数据的开放存储库，增加了对受害者造成的经济和声誉损害。泄漏站点为网络安全研究人员提供了有用的参考，使他们能够跟踪软件活动并针对组织，即使他们还通过泄露凭据和私人数据来鼓励更多攻击。

双重或三重？

到 2020 年，随着“三重”的引入，软件策略进一步发展。通过增加额外级别的压力，例如关注数据被盗的人或威胁分布式拒绝服务 （DDoS） 操作等二次攻击，这种策略扩展了双重。针对工业控制系统 （ICS） 和运营技术 （OT） 的软件（例如 EKAS （Snake） 恶意软件）的出现也表明了对关键基础设施的攻击。

RaaS 中的 LockBit 和 Increase

到 2020 年，RaaS 软件发生了重大变化，LockBit 等组织就是最好的例子。通过使具有不同专业知识水平的黑客能够租用高级工具和基础设施，该策略使软件操作“大众化”。RaaS 生态系统的稳健性保证了快速恢复和持续的攻击，即使面对执法部门的胜利，例如关闭 LockBit 的网站，由于这些平台促进的灵活性，附属公司能够在不受干扰的情况下引入新的软件病毒。

同时，Conti 软件将数据泄露置于加密之上，重新定义了策略。自 2020 年以来，他们频繁利用网络入侵、敏感数据盗窃和害怕公开曝光来强制付款。这种方法效果很好，因为企业必须应对不断增长的财务需求以及声誉和监管问题。

2021 年对 Colonial Pipeline 的攻击说明了软件对现实世界的严重影响。在一条重要的能源管道暂停六天后，导致了广泛的汽油短缺，凸显了重要基础设施的脆弱性。赎金支付揭示了公司在压力下必须做出的具有挑战性的选择，权衡给攻击者更多信心的可能性与恢复运营的需要。

新犯罪业务：初始访问经纪人

到 2020 年代初，在网络犯罪生态系统中观察到支持软件操作的策略和框架取得了重大进展。初始访问代理 （IAB） 作为关键参与者的出现使 RaaS 扩展成为可能。IAB 简化了老牌软件团伙的操作，并通过出售对被黑客攻击网络的访问权限减少了新手攻击者的障碍。由于这种合作，软件环境迅速发展，使攻击者能够专注于更有效地发起和控制他们的攻击。

202 年，双重和三重变得更加流行。除了数据加密和公开披露的威胁之外，分布式拒绝服务 （DDoS） 攻击甚至监管利用，例如向 SEC 报告违规行为以向受害者施加压力，深受攻击者的欢迎。由于这些多方面的策略，软件攻击变得更加复杂，迫使防御部门应对越来越有创造力和狡猾的对手。

软件的运营模式也发生了变化。威胁组织改变了他们的身份并实施了更有效的支付方式，以避免处罚。许多公司通过实施类似客户支持的程序（例如自助服务台）来对他们的有害活动采取商业方法，以提高受害者的依从性。这些模式凸显了软件运营的组织成熟度和技术复杂性的持续上升。

未来

由于来自全球执法部门的压力增加和复杂的网络安全保护措施，软件演变使用的策略已经发生了重大变化。最近的事件表明，克服这些障碍的策略更加积极和灵活。

到 202 年底，著名的软件组织已经改变了他们的策略，以保持盈利并向受害者施加压力。这包括利用监管框架、利用公开披露和实施新颖的谈判技巧。例如，专注于保险公司或使用第三方披露等策略显示出最大限度地减少对直接赎金支付的依赖并最大化影响的趋势。

此外，在 202 年下半年，人们越来越强调多阶段策略。黑客攻击后，Royal 和 Akira 等组织加强了驻留，以期更好地控制受害者。与此类似，AlphV 表现出愿意将威胁传播到主要目标之外，这表明软件生态系统的更大趋势是朝着更具创造性和更广泛的形式发展。

软件技术的发展强调了企业警惕违规行为以及为在第一次入侵后数年可能出现的复杂而持久的威胁做好准备的重要性。

由 AI 驱动的自动化和侦察能力，导致超针对性、多层尝试在未来软件中将变得更加普遍。攻击者将逐步利用运营技术系统和物联网中的新弱点，尤其是在供应链和关键基础设施方面，这将对整个行业产生多米诺骨牌影响。

为了破坏软件业务，政府将执行更严格的赎金支付和报告法律，这可能会使支付赎金成为非法行为。

然而，人工智能技术的广泛使用将是最重要的发展。随着 AI 模型成为未来应用程序的基础，软件的形势将变得更加复杂。

来源