微軟 “接管”了Trickbot僵尸網(wǎng)絡(luò)
2020年10月13日
雖然頭號(hào)勒索軟件Ryuk已經(jīng)開始有意減少在商業(yè)木馬/僵尸網(wǎng)絡(luò)上的投放����,轉(zhuǎn)而使用可以繞過安全工具的非現(xiàn)場工具��,但是僵尸網(wǎng)絡(luò)TrickBot和Emotet依然是大多數(shù)勒索軟件的主流投放平臺(tái)����,而且技術(shù)迭代速度很快����,讓網(wǎng)絡(luò)安全公司們疲于奔命,束手無策�����。但是微軟公司最近卻另辟蹊徑���,拿起法律武器“接管”了Trickbot僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施����。
據(jù)知名安全博客KrebsonSecurity報(bào)道���,微軟公司近日發(fā)動(dòng)一次有組織的法律偷襲����,以破壞惡意軟件即服務(wù)僵尸網(wǎng)絡(luò)Trickbot���,后者已經(jīng)成為全球威脅����,感染了數(shù)百萬臺(tái)計(jì)算機(jī),并用于傳播勒索軟件�。
弗吉尼亞州的一家法院授權(quán)微軟接管了Trickbot大量互聯(lián)網(wǎng)服務(wù)器的控制權(quán),指控的理由聽起來很新穎:Trickbot濫用了微軟的商標(biāo)��,觸犯了商標(biāo)法���。
包含Trickbot惡意軟件的釣魚郵件樣本(偽裝成國稅總局發(fā)給納稅人的信)
微軟客戶安全與信任副總裁湯姆·伯特(Tom Burt)在昨天發(fā)布的博客中宣布行動(dòng)捷報(bào):
我們通過獲得的法院命令以及與全球電信提供商合作的技術(shù)行動(dòng)破壞了Trickbot。微軟現(xiàn)在已經(jīng)切斷了Trickbot的關(guān)鍵基礎(chǔ)設(shè)施����,Trickbot僵尸網(wǎng)絡(luò)的運(yùn)營者將無法再發(fā)起新的感染攻擊或激活已經(jīng)植入計(jì)算機(jī)系統(tǒng)的勒索軟件。
值得注意的是��,在微軟的“商標(biāo)行動(dòng)”之前數(shù)日���,美國軍方“網(wǎng)絡(luò)司令部”也針對Trickbot發(fā)起了一波攻擊��,向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令�,讓這些設(shè)備與Trickbot主控服務(wù)器斷開連接���。美軍網(wǎng)絡(luò)司令部對Trickbot的攻擊持續(xù)了大約十天��,期間還將數(shù)百萬條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫中�����,以迷惑僵尸網(wǎng)絡(luò)的運(yùn)營者�����。
微軟在法律訴訟文件中指控Trickbot“通過損害微軟的聲譽(yù)����、品牌和客戶信譽(yù)對微軟造成不可挽回的傷害。被告人(Trickbot)實(shí)際上會(huì)更改和破壞Microsoft產(chǎn)品�,例如Microsoft Windows產(chǎn)品。一旦被Trickbot感染���、更改和控制�,Windows操作系統(tǒng)將停止正常運(yùn)行���,并成為被告進(jìn)行盜竊的工具���?!?/span>
微軟于10月6日向美國弗吉尼亞東區(qū)地方法院提起民事訴訟�,起訴書部分原文如下:
但是,它們(被Trickbot感染更改或控制的Windows系統(tǒng))仍然帶有Microsoft和Windows商標(biāo)����。顯然,此舉試圖并且確實(shí)誤導(dǎo)了微軟的客戶����,對微軟的品牌和商標(biāo)造成了極大的損害。
受這些惡意應(yīng)用程序的負(fù)面影響的用戶錯(cuò)誤地認(rèn)為Microsoft和Windows是其計(jì)算設(shè)備問題的根源���。用戶很有可能將這個(gè)問題歸因于Microsoft��,并將這些問題與Microsoft的Windows產(chǎn)品相關(guān)聯(lián),從而沖淡并損害了Microsoft和Windows商標(biāo)和品牌的價(jià)值�。
微軟表示將利用接管的Trickbot服務(wù)器來識(shí)別并協(xié)助受Trickbot惡意軟件影響的Windows用戶清除其系統(tǒng)中的惡意軟件。
Trickbot是目前最強(qiáng)大的僵尸網(wǎng)絡(luò)之一��,已被用來從數(shù)百萬臺(tái)受感染的計(jì)算機(jī)中竊取密碼�����,據(jù)報(bào)道�����,Trickbot劫持了超過2.5億個(gè)電子郵件賬戶,并不斷將新的惡意軟件副本從該電子郵件賬戶發(fā)送給受害者的聯(lián)系人��。
Trickbot僵尸網(wǎng)絡(luò)提供的“惡意軟件即服務(wù)”功能使其成為部署各種勒索軟件��,鎖定公司網(wǎng)絡(luò)上受感染系統(tǒng)的可靠工具��,除非受害公司同意支付勒索費(fèi)用����。
在過去的一年中,高度依賴Trickbot作為投放渠道的勒索軟件“Ryuk”(Conti)已經(jīng)攻擊了無數(shù)組織(包括醫(yī)療保健提供者�、醫(yī)學(xué)研究中心和醫(yī)院)并招致巨大損失。
Ryuk最近的受害者是Universal Health Services(UHS)����,這是一家《財(cái)富》 500強(qiáng)醫(yī)院和醫(yī)療服務(wù)提供商,在美國和英國經(jīng)營著400多個(gè)設(shè)施����。
9月27日,UHS關(guān)閉了美國醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)�,以阻止該惡意軟件的傳播。攻擊導(dǎo)致一些受影響的醫(yī)院被迫將救護(hù)車重定向,將需要手術(shù)的患者轉(zhuǎn)移到附近的其他醫(yī)院�。
微軟表示,它并不認(rèn)為自己的行動(dòng)會(huì)永久性地破壞Trickbot�,并指出該僵尸網(wǎng)絡(luò)背后的犯罪團(tuán)伙可能會(huì)努力恢復(fù)其運(yùn)營。但是到目前為止�,尚不清楚微軟是否成功接管了所有的Trickbot控制服務(wù)器,也不清楚針對這些服務(wù)器的聯(lián)合執(zhí)法行動(dòng)的具體時(shí)間���。
正如微軟在其法律文件中指出的那樣����,用作Trickbot控制器的IP地址集是動(dòng)態(tài)的����,這使得徹底關(guān)閉該僵尸網(wǎng)絡(luò)的嘗試更具挑戰(zhàn)性。
截至發(fā)稿���,安全牛查閱長期跟蹤Trickbot僵尸網(wǎng)絡(luò)互聯(lián)網(wǎng)服務(wù)器的瑞士安全站點(diǎn)Feodo Tracker發(fā)布的實(shí)時(shí)信息���,目前依然有六個(gè)Trickbot控制服務(wù)器在線(全部都是最新出現(xiàn)的服務(wù)器)(下圖)��。
當(dāng)前在線的Trickbot控制服務(wù)器
數(shù)據(jù)來源:Feodotracker
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
