由于Microsoft的工作以及安全公司和电信联盟的支持,TrickBot僵尸网络的后端基础结构已被禁用。该软件巨头的Defender团队与FS-ISAC,ESET,Lumen的Black Lotus Labs,NTT和Broadcom的网络安全部门Symantec合作,完成了历时数月的壮举。TrickBot最初于2016年被发现,最初是银行木马,后来成为Dyre的继任者,后来演变为执行许多其他恶意活动,包括通过网络横向传播,窃取浏览器中保存的凭据,窃取Cookie和感染Linux机器。

我们汇总了最好的恶意软件清除软件列表

最好的防病毒软件使您的设备保持在线保护

同时查看我们对最佳勒索软件防护的综述

该恶意软件通常通过利用当前事件或财务诱饵的电子邮件活动来传递,以诱骗用户打开恶意文件附件或指向托管恶意文件的网站的链接。用TrickBot感染系统后,网络分子便使用它来安装侦察工具,例如PowerShell Empire,Metasploit和Cobalt Strike,以窃取凭据和网络配置信息。

删除TrickBot

为了拆除TrickBot僵尸网​​络,微软,ESET,赛门铁克和其他合作伙伴花费了数月的时间收集了超过125,000个恶意软件样本。然后,他们分析了这些样本,并提取并映射了有关恶意软件如何工作的信息,包括僵尸网络用来控制受感染计算机的服务器。

在收集了有关TrickBot内部工作原理的信息之后,微软随后前往弗吉尼亚东区的美国地方法院,该公司要求法官授予其对僵尸网络服务器的控制权。

客户的安全和信任微软的企业副总裁汤姆·伯特提供了关于如何使用公司该法院的裁决,以禁止TrickBot的后端基础设施的进一步了解博客文章,他说:

“当我们观察到受感染的计算机连接到命令和控制服务器并从命令和控制服务器接收指令时,我们能够确定这些服务器的精确IP地址。有了这些证据,法院就批准了Microsoft和我们的合作伙伴禁用IP地址,使存储在命令和控制服务器中的内容不可访问,暂停对僵尸网络操作员的所有服务以及阻止Trickbot操作员进行任何购买或购买的努力。租用其他服务器。”

尽管TrickBot目前似乎已退出使用,但僵尸网络可能会重新出现,因为其他僵尸网络过去曾设法幸免于类似的删除尝试。只有时间能证明微软及其合作伙伴的努力是否成功,尽管即便如此,另一个僵尸网络仍可能崛起以取代TrickBot的地位。