微软 “接管”了Trickbot僵尸网络

微软公司近日发动一次有组织的法律偷袭，以破坏恶意软件即服务僵尸网络Trickbot。...



点击蓝字关注我们

据知名安全博客KrebsonSecurity报道，微软公司近日发动一次有组织的法律偷袭，以破坏恶意软件即服务僵尸网络Trickbot，后者已经成为全球威胁，感染了数百万台计算机，并用于传播勒索软件。

弗吉尼亚州的一家法院授权微软接管了Trickbot大量互联网服务器的控制权，指控的理由听起来很新颖：Trickbot滥用了微软的商标，触犯了商标法。

微软客户安全与信任副总裁汤姆·伯特（Tom Burt）在昨天发布的博客中宣布行动捷报：值得注意的是，在微软的“商标行动”之前数日，美国军方“网络司令部”也针对Trickbot发起了一波攻击，向所有受感染的Trickbot系统发送了一条指令，让这些设备与Trickbot主控服务器断开连接。美军网络司令部对Trickbot的攻击持续了大约十天，期间还将数百万条虚假的新受害者记录填充到Trickbot数据库中，以迷惑僵尸网络的运营者。

微软在法律诉讼文件中指控Trickbot“通过损害微软的声誉、品牌和客户信誉对微软造成不可挽回的伤害。被告人（Trickbot）实际上会更改和破坏Microsoft产品，例如Microsoft Windows产品。一旦被Trickbot感染、更改和控制，Windows操作系统将停止正常运行，并成为被告进行盗窃的工具。”

微软于10月6日向美国弗吉尼亚东区地方法院提起民事诉讼，起诉书部分原文如下：微软表示将利用接管的Trickbot服务器来识别并协助受Trickbot恶意软件影响的Windows用户清除其系统中的恶意软件。

Trickbot是目前最强大的僵尸网络之一，已被用来从数百万台受感染的计算机中窃取密码，据报道，Trickbot劫持了超过2.5亿个电子邮件账户，并不断将新的恶意软件副本从该电子邮件账户发送给受害者的联系人。

Trickbot僵尸网络提供的“恶意软件即服务”功能使其成为部署各种勒索软件，锁定公司网络上受感染系统的可靠工具，除非受害公司同意支付勒索费用。

在过去的一年中，高度依赖Trickbot作为投放渠道的勒索软件“Ryuk”（Conti）已经攻击了无数组织（包括医疗保健提供者、医学研究中心和医院）并招致巨大损失。

Ryuk最近的受害者是Universal Health Services（UHS），这是一家《财富》 500强医院和医疗服务提供商，在美国和英国经营着400多个设施。

9月27日，UHS关闭了美国医疗机构的计算机系统，以阻止该恶意软件的传播。攻击导致一些受影响的医院被迫将救护车重定向，将需要手术的患者转移到附近的其他医院。

微软表示，它并不认为自己的行动会永久性地破坏Trickbot，并指出该僵尸网络背后的犯罪团伙可能会努力恢复其运营。但是到目前为止，尚不清楚微软是否成功接管了所有的Trickbot控制服务器，也不清楚针对这些服务器的联合执法行动的具体时间。

正如微软在其法律文件中指出的那样，用作Trickbot控制器的IP地址集是动态的，这使得彻底关闭该僵尸网络的尝试更具挑战性。

截至发稿，安全牛查阅长期跟踪Trickbot僵尸网络互联网服务器的瑞士安全站点Feodo Tracker发布的实时信息，目前依然有六个Trickbot控制服务器在线（全部都是最新出现的服务器）（下图）。

合作电话：18311333376
合作微信：aqniu001
投稿邮箱：editor@aqniu.com

    关注 安全牛