把Rust编译的eBPF探针和 billion-dollar EDR 控制台放一边。想象一下:一台Windows 98机器,键盘上带着黏糊糊的残留物,56k调制解调器就是大规模杀伤性武器,而最高级的命令控制通道,是一个满是争论Linkin Park的青少年聊天室。
这就是1998年到2000年代初的黑客世界。没有现在这些精密工具,但那时的"远程管理工具"(RAT)自有其风格。
一切始于1998年。一个名为Cult of the Dead Cow的组织在DEF CON发布了Back Orifice——名字故意双关微软的BackOffice,幼稚、精准、完全契合这个懂得"命名即战争"的团体。它能远程控制Windows 95/98机器:浏览文件、截屏、记录键盘、重定向端口。静默运行,部署无需专业知识,体积不到100KB。
安全界炸了。微软称之为恶意软件,Cult of the Dead Cow称之为Windows安全缺陷的演示。双方都对。
1999年7月,Back Orifice 2000(BO2K)亮相DEF CON。开源、插件扩展、加密通信——当时它比市面上大多数合法远程管理工具功能更丰富。同年,NetBus已在流传。瑞典程序员Carl-Fredrik Neikter 1998年创建,界面干净得近乎体面。它因一桩案件臭名昭著:有人用它向瑞典一位法学教授的电脑植入儿童色情内容。教授最终无罪,但这起案件迫使所有人认真对待"远程管理"的法律与伦理含义。
然而,那个时代部署最广泛的RAT并非上述两者。这一"荣誉"属于Sub7(SubSeven)。罗马尼亚少年mobman用Delphi编写,1999年2月首次发布,到2000年已无处不在。它拥有精致的图形界面、追踪在线受害者的通讯录、自定义载荷的服务器编辑器(直接借鉴BO2K),甚至支持ICQ通知——对当时的恶意软件而言,这种打磨程度异常罕见。"Sub7"这个名字的确切来源从未被最终确认。
热门跟贴