每逢天灾,必有人祸。这句话在互联网世界里依然灵验,恶意网络病毒经常借着这些灾难事件攻击用户,谋取大额不法利益。例如马航事件、日本福岛核泄漏和最近新冠疫情。攻击者利用公众对灾难的恐慌,发送含有恶意软件连接或者文件的邮件给用户,并用灾难关键词主题诱骗接收者打开恶意附件或者链接。
当今世界最大的僵尸网络(利用恶意代码控制互联网上的设备,让他们像僵尸一样失去了原本的“意识”)之一的TrickBot僵尸网络就是一个典型特例。该恶意软件最初于2016年以银行木马的身份出现,然后转变为一种多功能恶意软件下载器,在感染系统后使用MaaS(Malware-as-a-Service)的商业模式为其他犯罪集团提供访问权限。
微软发现,新冠病毒大流行致使很多黑客攻击活动试图使用新冠病毒的「标签」。微软声称每天检测的钓鱼电子邮件中,有6万封携带了新冠病毒为主题的恶意附件或URL。谷歌声称每天为客户阻止2.4亿封新冠病毒主题垃圾邮件,以及1800万封恶意软件和网络钓鱼电子邮件。
不过天网恢恢疏而不漏,一个由技术公司组成的联盟最近宣布了一项成果,他们成功的拆除了TrickBot恶意软件僵尸网络的后端基础结构。参与此次拆除的公司和组织包括 Microsoft的Defender 团队, FS-ISAC, ESET, Lumen的Black Lotus Labs, NTT和 Broadcom的网络安全部门Symantec。
这个联盟花了几个月的时间收集了超过125,000个TrickBot恶意软件样本,分析了它们的内容,并提取和映射了有关恶意软件内部工作的信息,包括僵尸网络用来控制受感染计算机并提供附加模块的所有服务器。
掌握了这些信息后,微软于本月上法庭,要求法官授予其对TrickBot服务器的控制权。
“有了这些证据,法院批准了微软和我们的合作伙伴禁用IP地址,使存储在命令和控制服务器中的内容不可访问,暂停对僵尸网络操作员的所有服务以及阻止TrickBot操作员进行购买的任何努力。或租用其他服务器。”微软今天在新闻稿中说。
现在,全球范围内的互联网服务提供商(ISP)和计算机应急准备小组(CERT)都在努力通知所有受感染的用户。据该联盟的成员称,TrickBot僵尸网络在被移除时已经感染了超过一百万台计算机。其中一些受感染的系统还包括物联网(IoT)设备。
虽然这是一个可喜的成果,但我们绝不能就此掉以轻心,2015 年 10 月,一次包含 FBI 和 NCA 在内的国际联合行动摧毁了 Necurs 僵尸网络,但是很快它又复活了,之后就主要用于传播 Locky 勒索软件。此后,在安全人员的控制下,Necurs 僵尸网络虽然有所“收敛”,但每隔一段时间似乎都有新的迭代版本出现。我们不知道TrickBot是否会卷土重来,但毫无疑问与恶意病毒的斗争肯定是长期且持久的。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。