活躍又危險的惡意軟件之一：Trickbot主要「做戰」手段有哪些?

Trickbot可供其餘惡意行爲者在惡意軟件即服務(RaaS)模型下分發他們本身的惡意軟件，是多產和受歡迎的僵屍網絡之一，嚴重威脅着數據安全。html

什麼是Trickbot?

Trickbot，也被稱爲Trickster、TheTrick或TrickLoader，是一個自2016年末以來一直活躍的僵屍網絡。這種威脅只包含特洛伊木馬的特徵，用於竊取訪問在線銀行帳戶的憑證，而後試圖進行欺詐性轉帳。然而，隨着時間的推移，Trickbot成爲一種多用途惡意軟件，可供其餘惡意行爲者在惡意軟件即服務(RaaS)模型下分發他們本身的惡意軟件，甚至成爲多產和受歡迎的僵屍網絡之一，在全球被檢測到超過一百萬次，嚴重威脅着數據安全。web

什麼是僵屍網絡?

僵屍網絡是一種惡意程序，能夠由攻擊者遠程控制。這種類型的惡意代碼由一個執行操做的控制面板和一個與攻擊者的控制中心創建通訊的服務器應用程序組成。僵屍網絡的獨特之處在於，它容許攻擊者同時在許多被惡意軟件感染的計算機上執行指令。瀏覽器

Trickbot的一些主要功能是：從受感染的計算機(操做系統、已安裝的程序、用戶名、域名等)獲取數據信息、在瀏覽器中竊取憑據、從Outlook客戶端竊取憑據、獲取Windows 憑據、濫用協議等做爲SMB和LDAP在公司網絡內橫向移動並下載其餘類型的惡意軟件。安全

Trickbot利用其餘威脅進行首次感染並在受感染的計算機上執行惡意操做。例如，在之前流行的Emotet木馬感染的計算機上觀察到此惡意軟件。其次，Trickbot已被用做在受害計算機上啓動其餘惡意文件的網關，尤爲是勒索軟件。其中最引人注目的是Ryuk勒索軟件，這是一種已知且被普遍檢測到的數據安全威脅。服務器

誰是Trickbot的幕後黑手?

美國國防司法部在2021年6月指控並逮捕拉脫維亞一名婦女負責Trickbot的建立和發展，這背後的僵屍網絡有一個跨國犯罪組織，致力於盜取我的機密信息，並聲稱Trickbot感染了全球數千萬臺計算機。markdown

Trickbot的主要分發方式

這種威脅一般經過有針對性的網絡釣魚電子郵件使用各類藉口做爲誘餌進行傳播，例如與受害者電子郵件或財務(票據、獎金收集、未支付的交通罰款等)相關問題。網絡

這些電子郵件一般包含指向惡意或受感染站點的連接，或各類類型的附件：主要是 Excel、Word或ZIP類型的文檔。這些郵件來自世界各地的多個地點，常用在舊運動中承諾的受害者帳戶進行分發，而不是針對特定的目標。模塊化

除了經過欺詐性電子郵件進行通訊外，還屢次檢測到Trickbot利用系統漏洞在已受感染的受害者網絡內進行橫向移動。例如，服務器消息塊協議(SMB)中著名的Eternal Blue(永恆之藍)和eternal roman(永恆浪漫)漏洞。雖然這些漏洞已在2017年獲得修復，在那以後仍有大量計算機未進行更新，這使得橫向移動成爲Trickbot受害組織頭疼的問題。所以，在構建軟件系統初期，經過靜態代碼檢測及時修復由代碼缺陷形成的安全漏洞/運行時漏洞，能夠有效避免絕大部分惡意軟件攻擊，提高軟件安全及數據安全。oop

Trickbot有什麼特性?

Trickbot 是一種多階段模塊化惡意軟件，容許其操做員對受感染的計算機執行大量惡意操做。它的模塊化特性意味着它由幾個獨立的部分組成，容許該木馬的創做者能夠輕鬆進行修改。spa

例如，Trickbot中包含的一個模塊爲Trickbot中最古老的插件之一提供了支持：該插件負責指向感興趣的站點(主要是銀行或金融站點)，並經過web注入修改受感染用戶看到的內容。

這些模塊做爲Windows DLL文件實現，包含不一樣的功能:竊取憑證、從計算機收集信息等。它們經過下載到達受感染的計算機，下載能夠經過兩種方式進行:

第一，當您鏈接到默認的C&C服務器時，其中一個服務器將發送第二個威脅也鏈接到的服務器列表。正是這些服務器，在第二個「階段」中交付的服務器，向您發送相應的文件。

第二，下載模塊的另外一種方式是經過Trickbot控制器的顯式請求。每一個服務器都包含本身發送文件的通訊邏輯，這使得檢測和中斷更具挑戰性。

圖 2：Trickbot 通訊模型與不一樣類型的C&C服務器。

發現最多出現的模塊是橫向移動和利用EternalBlue漏洞以及那些負責竊取和泄露信息的部分。

2020年3月左右，Trickbot開始在其代碼內容中顯示其做者的意圖：目標站點列表以及包含執行Web攻擊所需信息的插件做爲「初始」的一部分被下載的頻率感染。與此同時，其餘惡意代碼(如勒索軟件)的下載在屬於企業網絡的受害者身上激增，Trickbot的策略發生轉變：從竊取銀行憑證到收取部分贖金。

如下是Trickbot使用的一些重要的技術。

惡意軟件如何防範?

正如前邊提到，Trickbot具備高度可區分的特性，它們通常經過攻擊系統漏洞實施入侵進而威脅數據安全，所以要增強應用軟件系統漏洞檢查，靜態代碼檢測能夠第一時間查找、識別、追蹤代碼缺陷，在開發早期進行修復，下降系統安全漏洞風險。此外還需提升安全意識來保護本身設備免受這種網絡威脅：

一、警戒任何可疑通訊，即使來自合法可信任的電子郵件地址也要驗證發件人、通訊的真實性和緣由。

二、對於附件，不要隨便下載那些受密碼保護的Word、Excel、PDF或ZIP等。

三、按期更新密碼。

四、保持設備和應用程序更新，包括服務器、計算機或筆記本電腦等設備。

參讀連接：