本文嘗試列舉出由各國軍事情報處的網(wǎng)絡安全部門開發(fā)的比較危險、有效也是特別聞名的惡意軟件清單，其中有些可以說早已盛名在外，另一些可能你還沒聽過……然而這正是它的危險之處。

一、Regin

[[271181]]

Regin被認為是有史以來國家級特別先進的惡意軟件系列，由NSA開發(fā)，并與其五眼聯(lián)盟合作伙伴(主要是GCHQ)共享。

在2014年被公開披露，但最早的樣本可以追溯到2011年，但也有一些人懷疑Regin早在2003年就被創(chuàng)建了。

一些已為人知的Regin野外部署案例包括比利時電信公司，德國政府反動，以及最近的一個案例，俄羅斯搜索巨頭Yandex。

在技術(shù)層面上，安全研究人員認為Regin是迄今為止最先進的惡意軟件框架，它具有數(shù)十個功能模塊，其中絕大多數(shù)模塊都是圍繞監(jiān)控操作設計，保證感染主機后也不被發(fā)現(xiàn)。

二、Flame

[[271182]]

當它在2012年被發(fā)現(xiàn)時，安全研究人員并沒有準確地用“惡意軟件”這個詞來描述Flame。當時，F(xiàn)lame非常先進以至于大家都愿意稱之為“攻擊工具包”。

Flame有點類似它的“大哥”Region，也是在框架之上工作的模塊集合，根據(jù)操作員所需要的特性進行部署。

2012年，伊朗國家認證中心的MAHER Center在針對伊朗政府機構(gòu)的襲擊中發(fā)現(xiàn)了Flame。而這一發(fā)現(xiàn)和stuxnet惡意軟件攻擊時隔兩年，并很快與方程式組織(美國國家安全局的代號)聯(lián)系到了一起。后來在針對其他中東政府的襲擊中也發(fā)現(xiàn)了Flame。目前，F(xiàn)lame的維基百科頁面保存了所有與flame相關(guān)的發(fā)現(xiàn)。

三、Stuxnet

[[271183]]

Stuxnet是名單上唯一一個擁有自己的紀錄片的惡意軟件。

該惡意軟件是在2000年代由美國國家安全局和以色列8200部隊(以色列軍方的網(wǎng)絡部門)共同共同開發(fā)的。2010年在伊朗部署，作為兩國致力破壞伊朗核計劃的一部分。

據(jù)說，Stuxnet在釋放時使用了四個不同的零日漏洞，被專門編碼為工業(yè)控制系統(tǒng)。它的作用是通過提高和降低轉(zhuǎn)子速度來修改控制核濃縮操作的離心機的設置，最終引起振動并破壞機器。

這個惡意軟件很成功，據(jù)說已經(jīng)感染了20多萬臺計算機，最終在伊朗納坦茲核設施摧毀了近1000臺離心機。

四、Shamoon

[[271184]]

Shamoon是名單上第一個非美國開發(fā)的惡意軟件，它是由伊朗國家黑客開發(fā)，2012年首次部署在沙特阿拉伯最大的石油生產(chǎn)商沙特阿美石油公司的網(wǎng)絡上。在2012年的攻擊中，一個數(shù)據(jù)雨刷器，摧毀了超過30000臺電腦。

2016年，針對同一目標，它進行了第二次部署，最近，則是被部署在了意大利石油和天然氣承包商Saipem上，據(jù)稱摧毀了該公司10%的PC機隊。

五、Triton

[[271185]]

Triton，也稱為Trisis，是最近添加到名單里的，這個惡意軟件被認為是由俄羅斯研究實驗室開發(fā)。

Triton在 2017年部署，是專門為Schneider Electric的Triconex安全儀表系統(tǒng)的控制器交互而設計的。根據(jù)Fireeye、Dragos和Symantec的技術(shù)報告，Triton的設計目的是關(guān)閉生產(chǎn)流程或允許Tricon控制的機器在不安全狀態(tài)下工作。惡意軟件的代碼泄露，最終在Github上發(fā)布。

六、Industroyer

[[271186]]

Industroyer也稱為CrashOverride，是俄羅斯國家黑客開發(fā)的惡意軟件框架，2016年12月部署在針對烏克蘭電網(wǎng)的網(wǎng)絡攻擊中。

這場攻擊切斷了烏克蘭首都基輔一部分的電力，并持續(xù)了一個小時之久。該惡意軟件被認為是Havex和Blacknergy等的進化(它們也曾被用來攻擊烏克蘭電網(wǎng))。然而，與Havex和Blacknergy不同，它們更像是針對管理工業(yè)系統(tǒng)部署的Windows通用惡意軟件，而Industroyer則是專門設計了與西門子電網(wǎng)設備交互的組件。

七、Duqu

[[271187]]

Duqu被認為是以色列臭名昭著的8200軍事網(wǎng)絡單位所建立的，2011年匈牙利安全研究人員在發(fā)現(xiàn)了Duqu，其第二個版本又于2015年被發(fā)現(xiàn)，代號為duqu 2.0。

第一個版本幫助stuxnet攻擊，第二個版本則危害俄羅斯防病毒公司kaspersky lab的網(wǎng)絡。在美國/歐盟與伊朗就核計劃和經(jīng)濟制裁進行國際談判的奧地利和瑞士酒店的計算機上，同樣也發(fā)現(xiàn)了duqu 2.0。

八、PlugX

[[271188]]

PlugX首次出現(xiàn)在2012年，是一個來源于中國黑客的遠程訪問特洛伊木馬(RAT)。

被發(fā)現(xiàn)以后，中國黑客似乎彼此共享了這個軟件，現(xiàn)在它被廣泛應用于中國國家組織，以至于直接將其歸為一個群體并不是容易的事情。

這里有一個關(guān)于plugx的技術(shù)報告。

九、Winnti

Winnti和PlugX非常相似。這是另一個中國制造的APT惡意軟件病毒，最初由一個群體使用，但隨著時間的推移，逐漸在中國所有APT中共享。

該惡意軟件自2011年發(fā)展至今，被稱之為模塊化后門木馬。 安全研究人員最近還發(fā)現(xiàn)了Linux變種。

Winnti和PlugX非常相似。這是另一個中國制造的APT惡意軟件病毒，最初由一個群體使用，但隨著時間的推移，逐漸在中國所有APT中共享。

該惡意軟件自2011年發(fā)展至今，被稱之為模塊化后門木馬。 安全研究人員最近還發(fā)現(xiàn)了Linux變種。

十、Uroburos

[[271189]]

Uroburos是由臭名昭著的Turla集團開發(fā)的rootkit，要知道Turla集團是世界上最先進的民族國家黑客組織之一，和俄羅斯政府有一些聯(lián)系。

根據(jù)G DATA報告，“rootkit能夠控制受感染的計算機，執(zhí)行任意命令并隱藏系統(tǒng)活動。”

Uroburos(也稱為Turla或Snake rootkit)被廣泛部署，并且非常有效，因為它的目的非常明確：獲得持久啟動并下載其他惡意軟件。

Uroburos是Turla APT攻擊的核心部分，早在2008年就出現(xiàn)在歐洲，美國和中東的受感染計算機上，目標通常是政府機構(gòu)。它曾經(jīng)先后出現(xiàn)在45個國家，并且在 2014年還發(fā)現(xiàn)了Linux變體。

十一、ICEFOG

[[271190]]

ICEFOG是另一個曾被一個集團使用的中國惡意軟件，后來被其他人共享和重用。

ICEFOG于2013年首次亮相，在過去兩年卷土重來，推出了新版本，甚至是Mac版本。更多地可以見報道。

十二、WARRIOR PRIDE

[[271191]]

WARRIOR PRIDE是由美國國家安全局和英國GCHQ共同開發(fā)，作為清單中唯一的移動惡意軟件。它適用于Android和iPhone，在2014年Snowden泄露期間被發(fā)現(xiàn)。

至于功能，iPhone的變體遠比Android的變體先進。它可以從受感染的主機中檢索任何內(nèi)容，通過靜默啟用麥克風來收聽附近的會話，甚至可以在手機處于睡眠模式時工作。

十三、Olympic Destroyer

[[271192]]

在2018年平昌冬季奧運會開幕式期間，Olympic Destroyer被部署在網(wǎng)絡上，電視臺和記者大多受到這次襲擊事件的影響。

據(jù)稱，Olympic Destroyer是由俄羅斯黑客創(chuàng)建，對國際奧委會的一場報復，原因是反抗俄羅斯運動員參加冬季奧運會的興奮劑指控，以及禁止其他人在俄羅斯國旗下的競爭。

惡意軟件本身就是一個信息竊取程序，它將應用程序密碼轉(zhuǎn)儲到受感染的系統(tǒng)上，使得黑客用它來升級對系統(tǒng)的訪問權(quán)限，此后他們觸發(fā)數(shù)據(jù)擦除攻擊，導致一些服務器和路由器崩潰。在攻擊發(fā)生幾個月后，即2018年6月，新的Olympic Destroye版本再次被發(fā)現(xiàn)。

十四、VPNFilter

[[271193]]

VPNFilter是名單中唯一為感染路由器而創(chuàng)建的APT惡意軟件。它是由俄羅斯國家黑客開發(fā)，在即將舉行2018年歐洲冠軍聯(lián)賽決賽的烏克蘭進行了提前部署。

原定計劃是在決賽的現(xiàn)場實時傳輸過程中部署惡意軟件和損壞路由器，類似于在2018年平昌冬季奧運會開幕式期間Olympic Destroyer的攻擊方式。

幸運的是，思科Talos的安全研究人員看到VPNFilter僵尸網(wǎng)絡正在組裝，并在FBI的幫助下將其取下。據(jù)FBI稱，該惡意軟件是由Fancy Bear APT創(chuàng)建的。

十五、WannaCry

[[271194]]

盡管原因各不相同，但2017年的三次勒索軟件爆發(fā)都是由民族黑客開發(fā)的惡意軟件。

第一個是WannaCry勒索軟件，由朝鮮黑客開發(fā)，其唯一目的是感染受害者并收集平壤政權(quán)的贖金，因為當時該政權(quán)受到嚴厲的經(jīng)濟制裁，為了減輕制裁的影響，該政權(quán)就利用國家黑客搶劫銀行，開采加密貨幣或運行勒索軟件來收集資金。

然而，WannaCry代碼中存在的問題使得它不僅僅傳播到本地網(wǎng)絡，勒索軟件的內(nèi)部自我復制(蠕蟲)組件還變得混亂并且感染了所有可見的東西，導致了全球的爆發(fā)。

十六、NotPetya

在WannaCry事件兩個月后，第二次勒索軟件爆發(fā)席卷全世界。這個勒索軟件被稱為NotPetya，由俄羅斯的Fancy Bear(APT28)組織編碼，最初只在烏克蘭部署。

然而，由于共享網(wǎng)絡和企業(yè)VPN導致了NotPetya在全球范圍內(nèi)傳播，和WannaCry類似，造成了數(shù)十億美元的損失。NotPetya也是使用EternalBlue漏洞作為其蠕蟲組件的核心部分。  

十七、Bad Rabbit

2017年的最后一次全球勒索軟件爆發(fā)，也是國家黑客帶來的。就像NotPetya一樣，Bad Rabbit也是俄羅斯黑客的作品，他們同樣在烏克蘭部署了它，隨后在全球范圍內(nèi)傳播，盡管和WannaCry、NotPetya相比，影響較小。

Bad Rabbit與NotPetya不同，它沒有使用EternalBlue作為其主要傳播機制，并且還包括許多權(quán)力的游戲參考。

十八、EternalBlue

[[271195]]

EnternalBlue本身可能并不是惡意軟件，在這個詞的經(jīng)典含義中，更多的是一種利用，當然，它仍然是由國家開發(fā)的，算是符合這份清單。EnternalBlue由美國國家安全局創(chuàng)建，并于2017年4月公開，結(jié)果，當時有一群名為The Shadow Brokers的神秘黑客在線發(fā)布了該代碼。

發(fā)布之后，它是先被用于加密貨幣挖掘活動，而真正成為一個廣為人知和可識別的術(shù)語，是在它被嵌入到2017年三個勒索軟件爆發(fā)的代碼中，即WannaCry，NetPetya和Bad Rabbit。

從那以后，EternalBlue一直沒有消亡，并且被各種網(wǎng)絡犯罪行為廣泛使用，通過利用Windows計算機上錯誤配置的SMBv1客戶端，將EternalBlue作為傳播到受損網(wǎng)絡內(nèi)其他系統(tǒng)的機制。