收集了关于TrickBot内部工作原理的信息后
得益于微软的工作以及安全公司和电信工会的支持,TrickBot僵尸网络的后端基础设施已经被禁用。这家软件巨头的Defender团队与FS-ISAC、ESET、Lumen的Black Lotus Labs、NTT和Broadcom的网络安全部门Symantec合作,实现了持续数月的壮举。TrickBot于2016年首次被发现。首先是银行木马,后来成为Dyre的继承者。后来演变成很多其他的恶意活动,包括通过网络横向传播,窃取保存在浏览器中的凭据,窃取Cookie,感染Linux机器。
我们已经编制了一份最佳恶意软件清除软件的列表。
最好的防病毒软件让您的设备保持在线。
同时,请查看我们对最佳软件保护的概述。
这种恶意软件通常通过电子邮件活动,利用当前事件或财务诱饵来欺骗用户打开恶意文件附件或指向托管恶意文件的网站的链接。网元用TrickBot感染系统后,用它安装PowerShell帝国、Metasploit、钴击等侦察工具,窃取凭据和网络配置信息。
删除TrickBot
为了拆除TrickBot僵尸网络,微软、ESET、赛门铁克和其他合作伙伴花了几个月的时间收集了超过125,000个恶意软件样本。然后,他们分析了这些样本,并提取和映射了有关恶意软件如何工作的信息,包括僵尸网络用来控制受感染计算机的服务器。
在收集了关于TrickBot内部工作原理的信息后,微软随后前往弗吉尼亚州东区的美国地方法院,该公司要求法官授予其对僵尸网络服务器的控制权。
微软副总裁汤姆伯特(Tom Burt)提供了一篇博客文章,介绍了如何利用该公司的法院裁决来禁止TrickBot的后端基础设施。他说:
“当我们观察到受感染的计算机连接到命令和控制服务器并从其接收指令时,我们可以确定这些服务器的确切IP地址。有了这一证据,法院批准微软和我们的合作伙伴禁用该IP地址,使存储在命令和控制服务器中的内容无法访问,暂停僵尸网络运营商的所有服务,并阻止Trickbot运营商进行任何购买或购买努力。租用其他服务器。”
虽然目前TrickBot似乎已经停止使用,但僵尸网络可能会重新出现,因为其他僵尸网络在过去也曾成功躲过类似的删除尝试。只有时间才能证明微软及其合作伙伴的努力是否成功。即便如此,另一个僵尸网络可能会崛起,取代TrickBot。