儘管微軟宣稱摧毀了Trickbot殭屍網路的基礎設施,但根據Feodo Tracker的觀察,Trickbot的操作者已經捲土重來。Image Source: Feodotracker.abuse.ch

微軟周一(10/12)宣布,在取得法院的命令下,旗下的數位安全中心(Digital Crimes Unit,DCU)已與全球的資安及電信業者聯手切斷了Trickbot殭屍網路的關鍵基礎設施,避免Trickbot危及即將來臨的美國大選,同時這也是微軟首次針對殭屍網路的操作者提出侵犯著作權的民事訴訟,原因是著作權法比電腦犯罪法令更為普遍,使得微軟可於更多的國家阻止駭客的行為。

Trickbot原本是隻鎖定Windows的金融木馬,它利用時事並透過網釣郵件散布,於郵件中夾帶惡意文件或連結,一旦進駐受害者的電腦,即可執行一連串的秘密行為來挾持受害者的瀏覽器,竊取受害者的網路銀行登入憑證與其它個人資料,再將資訊傳送至C&C伺服器,此外,Trickbot還被用來遞送Ryuk勒索軟體。

Trickbot不只能感染Windows裝置,也能感染Linux裝置,使得它的感染範圍從個人電腦蔓延到家庭及組織中的路由器,從2016年以來,Trickbot 已感染全球超過100萬個裝置,迄今尚無法找出幕後黑手,但研究顯示它同時服務不同目標的國家級駭客與犯罪集團。

DCU分析了6.1萬個Trickbot惡意程式樣本,指出它之所以危險在於它具備了持續進化的模組能力,而且採用惡意程式即服務(malware-as-a-service)模式,提供客戶存取已被Trickbot感染的裝置,以遞送包括勒索軟體在內的各種惡意程式。DCU的調查發現了Trickbot用來控制及聯繫被駭電腦的基礎設施,被駭電腦之間的通訊,以及Trickbot用來躲避偵測的手法,也得知了駭客C&C伺服器的確切IP位址。

總之,在微軟提交了Trickbot細節予法院之後,法院即允許微軟阻止該殭屍網路的活動,於是微軟攜手全球的資安業者與電信業者,先是關閉C&C伺服器的IP位址,讓惡意程式無法存取伺服器上的內容,同時封鎖Trickbot操作者購買或租賃其它伺服器的管道。

值得注意的是,微軟在宣布此事時,強調的是Trickbot對美國大選可能帶來的威脅。負責客戶安全與信任的微軟企業副總裁Tom Burt表示,不論是美國政府或資安專家都曾警告,勒索軟體為美國大選最主要的威脅之一,有心人士可能利用勒索軟體以感染用來維護選民名冊或選舉結果的電腦系統,在重要的時刻控制這些系統將會造成更大的混亂與不信任感。

此外,這也是微軟首次針對駭客提出民事訴訟,控告駭客侵犯著作權。根據資安部落格KrebsonSecurity的報導,微軟宣稱駭客實際上竄改與破壞了微軟的Windows產品,因為Windows用戶一旦被Trickbot感染或控制,它就無法正常操作,且會淪為駭客的竊盜工具,有損微軟的品牌與商譽。

Burt解釋,這是因為在全球各地,著作權法比電腦犯罪法令更為普遍,此一新的策略將可讓微軟於更多的國家追捕駭客。

儘管微軟已摧毀了Trickbot殭屍網路的基礎設施,但微軟也相信Trickbot的操作者將會努力捲土重來。


Advertisement

更多 iThome相關內容