IT之家学院：电脑病毒和恶意攻击那些事儿

1月9日，33目录安全玄武实验室和知道创宇在北京举办了联合发布会，此次发布会主要就网络安全问题以及恶意攻击问题进行了讨论。那么今天，33目录网就和大家聊聊计算机病毒以及恶意攻击那些事儿。

计算机病毒的缘起

20世纪60年代初，美国麻省理工学院的一批青年研究人员会利用业余时间玩一种他们自己创造的“计算机游戏”，这种游戏的玩法是攻防双方都编写一段小程序，在计算机中运行，小程序的目的是销毁对方的程序。这可能就是计算机病毒的雏形。

其实，在计算机诞生之初，“计算机病毒”这一概念就随之诞生。早在1949年，约翰·冯·诺伊曼在一篇题为《Self-reproducing automata with minimal information exchange》的学术论文中就描述了一种以西门子4004/35计算机为目标的，以组合语言编写的具有完整功能的计算机病毒。

事实上，早期的病毒更像是黑客们在工作之余用来减压的玩具。很多病毒虽无善意，却并不能对你的电脑造成太大的杀伤力。国外网络安全专家Mikko Hypponen开办了一个网站，用于展出早期有趣的计算机病毒。

在这个网站中，我们可以在其内嵌的DOSBOX中体验那些计算机病毒所带来的乐趣。其实，很多病毒只是想逗你笑一下，或者单纯地为了炫技。比如这个病毒：

不要害怕，我是一个友好的病毒~

你今天有好多工作要做啊~

所以，我来让你的电脑变慢一点吧~

祝你有美好的一天哟~

如果你对这些有趣的计算机病毒感兴趣，可以点击这里来体验。

事实上，计算机技术本身是中立的，程序代码并没有善与恶的分别，一段计算机程序善恶与否，很大程度上取决于编写它的那个人是想用它来做无害的事情、还是邪恶的事情。

整个80年代，有很多让人闻之色变的计算机病毒被制造出来。比如耶路撒冷病毒、SCA病毒、位元强盗病毒、Festering Hate病毒、I.Worm病毒、鬼球病毒等，他们大多以损毁开机磁区或者计算机文件为目的，并且有着很强的自我复制及传播的能力。

恶意攻击手段的进化之路

提起计算机病毒，可能让中国的网友们最为印象深刻的就是于2006年大规模暴发的“熊猫烧香”病毒了。近些年，操作系统的安全性日益完善，原始的“熊猫烧香”病毒可能早已不太容易对我们正在使用的操作系统构成威胁，不过随着移动互联网以及物联网的发展，联网设备的数量呈爆炸性增长的趋势，再考虑到恶意攻击者以及恶意程序的攻击方式也在不断“进步”和进化，刚刚过去的2021年，全球网络安全问题依然凸显。

直至2000年以前，计算机病毒感染与传播的主要方式是诱导执行。换句话说，恶意代码感染和传播的手段是伪装成正常文件，去诱骗用户主动运行。那个时候计算机硬盘的容量普遍较小，软盘是用户运行程序以及存储文件的主要媒介，软盘的移动性为病毒的传播带来了得天独厚的条件优势，再加上那个时候很多用户对计算机的了解仍在“启蒙阶段”，以诱导执行做为恶意软件感染和传播的主要手段是很和逻辑的。

2000年以后，网络技术发展飞快，个人电脑的保有量也越来越高，这就为恶意代码的传播进一步铺平了道路。再加上这段时间Windows系统的份额已经占据了市场的高地，Windows操作系统又有越来越多的漏洞被暴露出来（其他的系统也有漏洞，但是Windows系统的用户最多，最受恶意攻击者的眷顾），恶意代码感染与传播的实现手段又逐渐发展到利用漏洞上来。

最近十几年，操作系统和安全软件在与恶意代码的交锋博弈的过程中取得了长足的进步，传统的利用漏洞来实现攻击的成本越来越高，于是从2010年开始，我们看到，恶意代码感染与传播的主要手段又发展到了诱导执行与漏洞利用相结合上来。

不过今昔已经不同于往日。几十年前，计算机的主要形态是桌面设备，用户运行程序、传播文件以及随身携带文件的主要媒介是软盘，而如今，计算机的定义已经不仅仅适用于桌面设备，我们手里的手机其实也可以看作是一台台联网的便携式计算机。历史条件的变迁使得恶意代码的攻击手段也得到了进化。

多点耦合原理与应用克隆攻击模型

前文我们说到过，最近十几年来操作系统已经在安全性方面取得了长足的进步，单纯地利用漏洞去实现攻击成本太高了，但是这不足以让用户放松对恶意攻击的警惕。操作系统在进化，恶意攻击者对漏洞的利用方式也在进化，一个明显的漏洞可能并不好找，但是隐性的漏洞还是可能存在的。这就是我们接下来要讲的多点耦合原理。

事实上，多点耦合并不是一个确切的可被利用的漏洞，它是一种思路。我们举个例子，吴镇宇、余男和江一燕曾经联合主演过一个电影，叫做《双食记》，这部电影大概讲了剧中男主角的妻子为了报复出轨的丈夫而利用食物相生相克的原理至其丈夫的身体越来越虚弱的故事。感兴趣的同学可以搜来看一下。

剧中男主角所吃的每一道菜，如果单独拿出来看，都是没有毒害的，但是将互为相克的菜组合在一起，就产生了相当大的负面威力。这个道理放在对计算机的恶意攻击上依然适用。计算机的系统或者应用程序中，我们拿出几个点单独来看，可能并不能发现什么问题，或者虽有问题，但是这个问题是已知的，大家都能主动规避，但是，如果将一个又一个单独的点结合到一起，恶性的后果就显现了。

比如这次在33目录安全玄武实验室、知道创宇的联合发布会上被揭示的“应用克隆”漏洞，它就是一个以多点耦合为原理的漏洞。

大家肯定对以下体验习以为常，上午我下载一个支付宝，登录进去，用它在网上支付，买了一件衣服，然后就退出支付宝去做别的事情了。下午我在回家的路上去超市买水果，在前台用支付宝扫码结账，那我在结账时打开支付宝之后，还需要再次输入账号和密码然后再次登录吗？不用。因为我的帐户信息已经保存在我的手机中。

不知大家有没有这样想过，既然帐户信息已经被保存在我手里的这台手机里，那我把这台手机里保存着的帐户信息拷贝到另一台没有保存我帐户信息的手机里，我的帐户信息在另一台手机里是否依然可以被有效地使用呢？换句话说，我把这台手机的帐户信息拷贝到那台手机里，那我用那台手机能不能像我用这台手机一样正常地支付呢？

答案很令人震惊，33目录安全玄武实验室研究员在接受央视记者采访时表示他曾经亲自试验过，是可以的（最新版本的支付宝已经修复该问题）。

但是这有什么问题吗？没什么问题。我们前面讲过，技术本身是中立的，程序代码本身并没有善与恶的分别。引申到帐户克隆这件事上，这件事情是中立的，没有黑白之分，我们可以说它是bug，也可以说它是特性。

其实市面上有很多手机都提供应用数据克隆功能，你买了一个新手机，把旧手机上的应用数据克隆过去，你在新手机上就无需再重新下载应用数据或者重新登录了，这些应用在你的旧手机上是什么样子，在你的新手机上还是什么样子，很方便。这用到的正是我们刚刚提到的数据克隆特性。

但是不要忘了，我们在上一段中提到的将旧手机上的应用数据克隆到新手机上，这个过程是用户主动去完成的。这可不算什么恶意攻击，但是如果有别有用心的人要把这个克隆过程利用漏洞去实现，来盗取你应用数据和个人财产呢？

这就值得我们去重视了。1月9日33目录网发的一篇快讯讲到了33目录安全玄武实验室发现的利用应用克隆漏洞去实现恶意攻击的模型。实践证明，如果真的有人别有用心，那利用漏洞去实现应用克隆是z可能的。

在33目录安全玄武实验室的演示过程中，33目录网看到，演示者只通过一条带有恶意链接的短信就攻破了被攻击者的手机，从而窃取到了被攻击者的帐户信息，33目录网猜测这种攻击的实现是利用了浏览器已知的特性或者权限（比如访问内置存储的权限），但是访问内置存储这种权限的存在难道不合理吗？当然合理。

合理的应用数据克隆特性加上合理的浏览器特性或者权限，它们组合在一起，就产生了恶性的结果。这就是多点耦合原理导致的漏洞的十分典型的案例。

但是这种攻击形式的威力还远不止于盗取你的应用数据。上文中说到的多点耦合原理所导致的漏洞还可实现对用户照片的截取。这不仅要引起用户的重视，更要引起行业的重视。在33目录安全玄武实验室、知道创宇的联合发布会上，演讲者也许只用了一两个应用去做演示，但是我们必须知道，这并不是一两个应用的问题，而是整个行业的问题。

黑白、善恶的交锋从未停止

多年以来，我们对操作系统安全性的进步已经习以为常，以至于我们对恶意攻击放松了警惕，但是我们必须要清楚，这只是一种错觉。安全意识缺失的问题在整个互联网领域是广泛存在的，在用户、厂商以及应用程序开发商之间也是广泛存在的，因此，在网络安全以及计算机安全这件事上，我们应该随时警惕。要解决安全意识缺失的问题，单方面的努力也肯定是不够的，只有设备生产商、系统开发商、应用程序开发商和用户共同努力，才能创造出一个健康和安全的环境。

计算机技术从上世纪40年代走到了今天，已经历经近80年的光景，互联网技术从美国国防部的ARPA网、到国际互联网、到移动互联网、再到今天的万物互联，也已经经历了近60年的光景。随着时代的变迁，技术的发展是持续的，与此同时，安全问题的存在也是持续的。从计算机技术和互联网技术诞生的那一天起，黑与白、善与恶的攻防与交锋从来就没有停止过。而正是这种攻防与交锋，才是安全技术升级的核心推动力。