微软周一(10/12)宣布,在取得法院的命令下,旗下的数字安全中心(Digital Crimes Unit,DCU)已与全球的安全及电信企业联手切断了Trickbot僵尸网路的关键基础设施,避免Trickbot危及即将来临的美国大选,同时这也是微软首次针对僵尸网络的操作者提出侵犯著作权的民事诉讼,原因是著作权法比计算机犯罪法令更为普遍,使得微软可于更多的国家阻止黑客的行为。
Trickbot原本是只锁定Windows的金融木马,它利用时事并通过网络钓鱼邮件传播,于邮件中附带恶意文件或连接,一旦进驻受害者的计算机,即可执行一连串的秘密行为来挟持受害者的浏览器,窃取受害者的网络银行登录凭证与其它个人资料,再将信息发送至C&C服务器,此外,Trickbot还被用来传送Ryuk勒索软件。
Trickbot不仅能感染Windows设备,也能感染Linux设备,使得它的感染范围从个人计算机蔓延到家庭及组织中的路由器,从2016年以来,Trickbot已感染全球超过100万个设备,迄今尚无法找出幕后黑手,但研究显示它同时服务不同目标的国家级黑客与犯罪集团。
DCU分析了6.1万个Trickbot恶意程序样本,指出它之所以危险在于它具备了持续进化的模块能力,而且采用恶意程序即服务(malware-as-a-service)模式,提供客户访问已被Trickbot感染的设备,以传送包括勒索软件在内的各种恶意程序。DCU的调查发现了Trickbot用来控制及联系被黑计算机的基础设施,被黑计算机之间的通信,以及Trickbot用来躲避侦测的手法,也得知了黑客C&C服务器的确切IP地址。
总之,在微软提交了Trickbot细节给法院之后,法院即允许微软阻止该僵尸网络的活动,于是微软携手全球的安全企业与电信企业,先是关闭C&C服务器的IP地址,让恶意程序无法访问服务器上的内容,同时封锁Trickbot操作者购买或租赁其它服务器的渠道。
值得注意的是,微软在宣布此事时,强调的是Trickbot对美国大选可能带来的威胁。负责客户安全与信任的微软企业副总裁Tom Burt表示,不论是美国政府或安全专家都曾警告,勒索软件为美国大选最主要的威胁之一,有心人可能利用勒索软件以感染用来维护选民名册或选举结果的计算机系统,在重要的时刻控制这些系统将会造成更大的混乱与不信任感。
此外,这也是微软首次针对黑客提出民事诉讼,控告黑客侵犯著作权。根据安全博客KrebsonSecurity的报道,微软宣称黑客实际上篡改与破坏了微软的Windows产品,因为Windows用户一旦被Trickbot感染或控制,它就无法正常操作,且会沦为黑客的窃盗工具,有损微软的品牌与商誉。
Burt解释,这是因为在全球各地,著作权法比计算机犯罪法令更为普遍,该新的策略将可让微软于更多的国家追捕黑客。
尽管微软已摧毁了Trickbot僵尸网路的基础设施,但微软也相信Trickbot的操作者将会努力卷土重来。