圖片來源: 

Kryptos Logic

水能載舟亦能覆舟,在企業擁抱開源軟體的同時,駭客也拿來進行攻擊工具的開發。最近2年屢遭勒索軟體駭客濫用的殭屍網路Trickbot,資安公司Kryptos Logic發現駭客在惡意軟體裡加入名為Masrv的網路探測模組,企圖在感染Windows電腦後,進一步調查受害電腦所屬的網路環境,收集有關資訊。該公司提供了入侵指標(IoC)與YARA特徵碼,讓網管人員能夠防範Trickbot的情蒐行為。

Masrv模組是網路掃描工具,駭客從開放原始碼的Masscan改造而成。一旦Trickbot被植入電腦後,該模組就會依據Windows作業系統的版本,來執行32位元或64位元的DLL檔案。駭客Trickbot納入這個模組的意圖為何?Kryptos Logic認為,他們很可能是在測試能否藉由這種工具,來增加擴散該惡意軟體的速度。

Kryptos Logic同時揭露Masrv的運作原理,以及當中的會執行的指令等細節。該公司也在Masrv的程式碼裡,發現與Anchor的C&C中繼站通訊的功能,以及寫死的IP位址清單,而這些IP位址與Trickbot變種惡意軟體Anchor和Bazar有關。

回顧Trickbot近期動態,曾一度被封鎖但迅速復活,惡意軟體的威脅更加底層

去年10月初,Trickbot才被微軟與全球多家資安廠商及電信業者聯手,切斷其C&C中繼站的IP位址,但傳出不久之後背後的經營者就繼續營運,並且出現會濫用UEFI漏洞的模組Trickboot,使得Trickbot控制受害電腦的能力更強大。

而在2021年初出現了一些變數,而使得Trickbot可能因此變得更加壯大。許多勒索軟體駭客組織所倚賴的大型殭屍網路Emotet於2021年1月底遭到封鎖,這很可能使得他們改搭配Trickbot來入侵受害電腦,而使得這個殭屍網路影響更加深遠。

熱門新聞

Advertisement