微軟 “接管”了Trickbot僵尸網(wǎng)絡
責編:gltian |2020-10-15 11:11:54雖然頭號勒索軟件Ryuk已經(jīng)開始有意減少在商業(yè)木馬/僵尸網(wǎng)絡上的投放,轉(zhuǎn)而使用可以繞過安全工具的非現(xiàn)場工具,但是僵尸網(wǎng)絡TrickBot和Emotet依然是大多數(shù)勒索軟件的主流投放平臺,而且技術(shù)迭代速度很快,讓網(wǎng)絡安全公司們疲于奔命,束手無策。但是微軟公司最近卻另辟蹊徑,拿起法律武器“接管”了Trickbot僵尸網(wǎng)絡的基礎設施。
據(jù)知名安全博客KrebsonSecurity報道,微軟公司近日發(fā)動一次有組織的法律偷襲,以破壞惡意軟件即服務僵尸網(wǎng)絡Trickbot,后者已經(jīng)成為全球威脅,感染了數(shù)百萬臺計算機,并用于傳播勒索軟件。
弗吉尼亞州的一家法院授權(quán)微軟接管了Trickbot大量互聯(lián)網(wǎng)服務器的控制權(quán),指控的理由聽起來很新穎:Trickbot濫用了微軟的商標,觸犯了商標法。
包含Trickbot惡意軟件的釣魚郵件樣本(偽裝成國稅總局發(fā)給納稅人的信)
微軟客戶安全與信任副總裁湯姆·伯特(Tom Burt)在昨天發(fā)布的博客中宣布行動捷報:
我們通過獲得的法院命令以及與全球電信提供商合作的技術(shù)行動破壞了Trickbot。微軟現(xiàn)在已經(jīng)切斷了Trickbot的關(guān)鍵基礎設施,Trickbot僵尸網(wǎng)絡的運營者將無法再發(fā)起新的感染攻擊或激活已經(jīng)植入計算機系統(tǒng)的勒索軟件。
值得注意的是,在微軟的“商標行動”之前數(shù)日,美國軍方“網(wǎng)絡司令部”也針對Trickbot發(fā)起了一波攻擊,向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令,讓這些設備與Trickbot主控服務器斷開連接。美軍網(wǎng)絡司令部對Trickbot的攻擊持續(xù)了大約十天,期間還將數(shù)百萬條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫中,以迷惑僵尸網(wǎng)絡的運營者。
微軟在法律訴訟文件中指控Trickbot“通過損害微軟的聲譽、品牌和客戶信譽對微軟造成不可挽回的傷害。被告人(Trickbot)實際上會更改和破壞Microsoft產(chǎn)品,例如Microsoft Windows產(chǎn)品。一旦被Trickbot感染、更改和控制,Windows操作系統(tǒng)將停止正常運行,并成為被告進行盜竊的工具。”
微軟于10月6日向美國弗吉尼亞東區(qū)地方法院提起民事訴訟,起訴書部分原文如下:
但是,它們(被Trickbot感染更改或控制的Windows系統(tǒng))仍然帶有Microsoft和Windows商標。顯然,此舉試圖并且確實誤導了微軟的客戶,對微軟的品牌和商標造成了極大的損害。
受這些惡意應用程序的負面影響的用戶錯誤地認為Microsoft和Windows是其計算設備問題的根源。用戶很有可能將這個問題歸因于Microsoft,并將這些問題與Microsoft的Windows產(chǎn)品相關(guān)聯(lián),從而沖淡并損害了Microsoft和Windows商標和品牌的價值。
微軟表示將利用接管的Trickbot服務器來識別并協(xié)助受Trickbot惡意軟件影響的Windows用戶清除其系統(tǒng)中的惡意軟件。
Trickbot是目前最強大的僵尸網(wǎng)絡之一,已被用來從數(shù)百萬臺受感染的計算機中竊取密碼,據(jù)報道,Trickbot劫持了超過2.5億個電子郵件賬戶,并不斷將新的惡意軟件副本從該電子郵件賬戶發(fā)送給受害者的聯(lián)系人。
Trickbot僵尸網(wǎng)絡提供的“惡意軟件即服務”功能使其成為部署各種勒索軟件,鎖定公司網(wǎng)絡上受感染系統(tǒng)的可靠工具,除非受害公司同意支付勒索費用。
在過去的一年中,高度依賴Trickbot作為投放渠道的勒索軟件“Ryuk”(Conti)已經(jīng)攻擊了無數(shù)組織(包括醫(yī)療保健提供者、醫(yī)學研究中心和醫(yī)院)并招致巨大損失。
Ryuk最近的受害者是Universal Health Services(UHS),這是一家《財富》 500強醫(yī)院和醫(yī)療服務提供商,在美國和英國經(jīng)營著400多個設施。
9月27日,UHS關(guān)閉了美國醫(yī)療機構(gòu)的計算機系統(tǒng),以阻止該惡意軟件的傳播。攻擊導致一些受影響的醫(yī)院被迫將救護車重定向,將需要手術(shù)的患者轉(zhuǎn)移到附近的其他醫(yī)院。
微軟表示,它并不認為自己的行動會永久性地破壞Trickbot,并指出該僵尸網(wǎng)絡背后的犯罪團伙可能會努力恢復其運營。但是到目前為止,尚不清楚微軟是否成功接管了所有的Trickbot控制服務器,也不清楚針對這些服務器的聯(lián)合執(zhí)法行動的具體時間。
正如微軟在其法律文件中指出的那樣,用作Trickbot控制器的IP地址集是動態(tài)的,這使得徹底關(guān)閉該僵尸網(wǎng)絡的嘗試更具挑戰(zhàn)性。
截至發(fā)稿,安全牛查閱長期跟蹤Trickbot僵尸網(wǎng)絡互聯(lián)網(wǎng)服務器的瑞士安全站點Feodo Tracker發(fā)布的實時信息,目前依然有六個Trickbot控制服務器在線(全部都是最新出現(xiàn)的服務器)(下圖)。
當前在線的Trickbot控制服務器?
數(shù)據(jù)來源:Feodotracker
- 周鴻祎領銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!