上周,以微软(Microsoft)为首的一个网络安全公司联盟策划了一场针对TrickBot的全球攻势,TrickBot是当今最大的恶意软件僵尸网络和网络犯罪行动之一。
即使微软在最初几天就让TrickBot基础设施瘫痪了,但僵尸网络幸存了下来,TrickBot运营商将新的指挥与控制(C&;C)服务器上线,希望继续他们的网络犯罪狂欢。
但正如网络安全行业的几位消息人士上周告诉ZDNet的那样,每个人都预计TrickBot会反击,微软承诺在未来几周继续打击该组织。
在今天发布的最新消息中,微软确认了针对TrickBot的第二波下线行动。
这家操作系统制造商表示,在过去的一周里,它已经慢慢削弱了TrickBot的基础设施,并关闭了僵尸网络94%的C&A;C服务器,包括最初的服务器和第一次关闭后上线的新服务器。
微软客户安全与信任部首席副总裁汤姆·伯特(Tom Burt)表示:从我们开始运营到10月18日,我们已经关闭了全球128台我们认定为Trickbot基础设施的服务器中的120台。
伯特说,微软关闭了最初69台TrickBot C&;C服务器中的62台,以及TrickBot上周关闭后试图上线的59台服务器中的58台。
上周无法关闭的七台服务器被描述为物联网(IoT)设备。
这些系统不能立即关闭的原因是它们不在网络托管公司和数据中心内,而且无法通过滥用电子邮件联系到设备所有者。
还需要与当地互联网服务提供商进行更多的协调,但微软表示,这些[设备]正在被禁用的过程中。
伯特将微软对第二波TrickBot服务器基础设施的快速反应归功于该公司的律师,他们迅速采取行动,要求法院在几天内拆除这些新服务器。
目前,TrickBot僵尸网络还活着,但它再次被击倒在地。尽管如此,一些命令和控制服务器仍然活着,这使得TrickBot操作员能够保持对他们的受感染设备群体的控制。
根据网络安全公司Intel471的数据,这最后几个TrickBot C&;C残留物位于巴西、哥伦比亚、印度尼西亚和吉尔吉斯斯坦。
目前尚不清楚TrickBot还能存活多少,但Burt表示,微软计划至少在11月3日举行的美国总统选举之前追查TrickBot的基础设施。
伯特说,微软正试图阻止TrickBot将受感染电脑的访问权限出租给勒索软件团伙,这是众所周知的TrickBot僵尸网络过去所做的事情。
微软担心,时机不佳的勒索软件攻击可能最终导致选举系统停机-要么直接加密选举相关基础设施,要么间接影响选举相关供应链。
大多数网络安全专家都淡化了这种担忧,因为勒索软件团伙有多种分发方法可供他们使用,拿下TrickBot Won并不一定意味着选举不会受到勒索软件的攻击-但没有人会因为微软破坏了一个僵尸网络而生气,这个僵尸网络在过去两年里给许多系统管理员带来了噩梦。
尽管如此,从远处看,TrickBot运营商似乎并没有太担心TrickBot的企图,因为他们花了一周的时间试图在合作伙伴恶意软件僵尸网络(Emotet)的帮助下制造新的受害者。
我有预感这会发生。Emotet经常放弃TrickBot,而几个月前,TrickBot也在放弃Emotet。因此,他们能够恢复一些旧的机器人,以及通过Emotet感染新系统。Https://t.co/ijB87gqKJ1。
-MalwareTech(@MalwareTechBlog)2020年10月14日