情境示意圖,圖片來源/國際刑警組織Interpol

資安部落格Krebs on Security本周先報導,主要鎖定Windows平臺並造成極大損害的Trickbot殭屍網路遭到不明人士出手破壞,使之一度癱瘓。

Trickbot是近年相當活躍的殭屍網路惡意程式。TrickBot一開始只是個Windows上的金融木馬程式,鎖定各種國際銀行以竊取用戶的登入憑證,但近年衍生出可在網路中橫向擴散、竊取儲存於瀏覽器中的憑證、Cookies等能力,它還提供殭屍網路服務,可用於大規模散布勒索軟體,像是最近感染美國最大醫院連鎖之一UHS的勒索軟體Ryuk也和它有關。一家從事資料復原的安全公司Hold Security估計,Trickbot已竊取了全球270多萬臺Windows PC的密碼及金融資料。

Trickbot殭屍電腦網路背後的駭客,一般使用組態檔對已感染Trickbot的Windows電腦派送新指令,像是傳送某個IP位置,要求所有殭屍電腦下載新版惡意程式。安全廠商研究人員發現,9月22日一名不知名人士對這些Windows電腦發布一個新的組態檔,告知它們新的控制伺服器位置在127.0.0.1,這是一個localhost IP位置,無法從公開網際網路存取,意謂著它們什麼指令也接收不了。

Intel 471是在10月1日發現這個現象,不久後,所有Trickbot控制伺服器無法正確回應殭屍電腦大軍的呼叫,兩件事時間點十分接近,安全公司猜測有人在對Trickbot控制網路刻意搞破壞。

Intel 471 執行長Mark Arena指出,誰出手攻擊則不得而知,安全研究社群、政府、內鬼,或是對手駭客組織都有可能。安全廠商也不知這假的組態檔部署到多少Windows殭屍電腦上。

不過可以確定的是,Trickbot背後的集團會設法奪回控制權,因為它還內建了復原系統,必要時可以轉由架在分散式網名系統EmerDNS上的控制器來接手控制。

除了9月底的攻擊外,Hold Security也發現有人對Trickbot網路餵送大量假資料。新產生的假資料讓感染Trickbot的機器10月1日一下激增到700多萬,宿主機器分別位於美國國防部、摩根大通、花旗銀行等。Hold Security推測這波假資料旨在搞亂Trickbot的資料庫、擾亂其行動。

這些攻擊行為成效如何還有待釐清,不過安全公司警告,這也可能激怒駭客引發嚴重後果。例如他們偵測到仰賴Trickbot的駭客揚言要提高勒索金額到2倍。

這並非唯一一波攻擊殭屍網路的行動。7月間殭屍網路惡意程式Emotet也被人動手腳,將受害電腦中應該下載Emotet的Office檔案連結來源,置換成Giphy和Imgur代管的無害動態GIF檔。


Advertisement

更多 iThome相關內容