Trickbot — наемный ботнет, атакованный Microsoft — изо всех сил пытается остаться в живых

Он все еще не мертв, но благодаря усилиям в масштабах всей отрасли он в настоящее время неактивен.

Дэн Гудин. 21 октября 2020 г., 2:00 UTC

Trickbot. наемный ботнет, атакованный Microsoft. изо всех сил пытается остаться в живых

    Операторы Trickbot. ботнета по найму, который заразил более 1 миллиона устройств с 2016 года. ищут новые способы остаться на плаву после того, как на прошлой неделе Microsoft и ряд отраслевых партнеров предприняли скоординированные действия по его разрушению.

    В обновлении, опубликованном во вторник, вице-президент Microsoft по безопасности и доверию Том Берт сказал, что в ходе операции сначала удалось отключить 62 из 69 серверов, которые, как известно, Trickbot использовал для управления своей обширной сетью зараженных устройств. Операторы Trickbot отреагировали, быстро развернув 59 новых серверов, и Microsoft смогла устранить все из них, кроме одного.

    В целом, в рамках отраслевой операции было отключено 120 из 128 серверов, идентифицированных как принадлежащие Trickbot. Теперь Trickbot в ответ использует конкурирующую преступную группу для распространения вредоносного ПО Trickbot.

    Борьба за выживание

    «Это один из многих признаков того, что, столкнувшись с критической инфраструктурой, подвергающейся повторяющимся атакам, операторы Trickbot изо всех сил пытаются найти другие способы оставаться активными». написал Берт. «Хотя договоренность с другими участниками не позволит Trickbot сравняться с его собственными возможностями, это также напоминание о том, что существует множество угроз для обеспечения безопасности киберпространства, и для людей, особенно тех, кто участвует в обеспечении безопасности наших избирательных процессов, важно сохранять бдительность. »

    Берт, который в прошлом курировал несколько глобальных уничтожений ботнетов, сказал, что отрасль становится лучше. После определения новых серверов Trickbot Microsoft и ее партнеры смогли найти своих соответствующих хостинг-провайдеров, инициировали требуемые юридические действия и отключили новую инфраструктуру всего за три часа. При координации многих партнеров одно удаление заняло менее шести минут с момента уведомления провайдера, размещающего сервер.

    Берт также сказал, что восстановление инфраструктуры командных серверов занимает много времени и не сводится просто к установке новых серверов. «Новые серверы необходимо подготовить, чтобы они могли общаться с зараженными устройствами ботнета и отдавать команды, и все это требует времени». Он сказал, что многие из оставшихся серверов являются маршрутизаторами или другими типами устройств Интернета вещей, которые не подвержены обычным процедурам удаления.

    Люди за пределами Microsoft согласились с тем, что удаление, похоже, приносит результаты. Маркус Хатчинс, исследователь, внимательно следящий за ботнетами, сказал, что у Trickbot есть два класса серверов. Командные серверы обновляют конфигурации и отправляют команды, в то время как серверы плагинов загружают модульные инструменты, используемые для таких вещей, как банковское мошенничество, заражение новых компьютеров или рассылка спама.

    По словам Хатчинса, даже один командный сервер может быстро сообщить всем зараженным компьютерам, где найти новые управляющие серверы, поэтому их частичное уничтожение. не такая уж большая проблема. Фактически, за несколько часов до публикации этого поста операторы ботнета смогли добавить 13 новых командных серверов.

    Что еще более оптимистично для участников разборки, так это то, что по какой-то причине ни один из серверов плагинов не заменяется.

    «Без серверов плагинов бот. это просто загрузчик, которому нечего загружать». сказал мне Хатчинс. «По сути, ботнет пока не работает. Пока у них есть работающие C2, они могут его оживить. Но в настоящее время они этого не сделали ».

    «Я еще не умер

    Хатчинс сказал, что победа отнюдь не полная. Во-первых, возможно, что серверы плагинов все еще могут быть восстановлены. Во-вторых, во время публикации этой публикации операторы Trickbot активно развертывали программы-вымогатели, используя так называемый BazarLoader.

    О победе еще рано объявлять. Непонятно, почему именно серверы плагинов не заменяются. Если серверы плагинов вернутся, обычные вредоносные уловки Trickbot, скорее всего, вернутся.

    «Он определенно не мертв. сказал Хатчинс. а просто выведен из строя».