惡意軟件新王:TrickBot
僵尸網絡TrickBot和Emotet是網絡犯罪份子發動攻擊最常用的初始訪問入口,也是大多數勒索軟件的主流投放平臺,二者擁有媲美硅谷創業公司的“創新”速度,技術迭代很快,多年來讓企業安全部門和網絡安全公司疲于奔命,束手無策。但是隨著今年一月份全球執法部門的一系列強有力的聯合行動搗毀Emotet基礎設施之后,惡意軟件榜單排名發生了較大變化。
惡意軟件之王
根據Check Piont最新發布的威脅報告,2月份曾經的惡意軟件之王——Emotet在全球范圍內被搗毀,但TrickBot木馬僵尸網絡則通過一波全球攻勢宣布強勢回歸,躍居2月份最受歡迎的惡意軟件榜首,TOP3分別如下:
- ↑Trickbot–占主導地位的僵尸網絡和銀行木馬,不斷用新功能和發行媒介進行更新。這使Trickbot成為靈活且可自定義的惡意軟件,可以作為多用途活動的一部分進行分發。
- ↑XMRig–是門羅幣開源CPU挖礦軟件,于2017年5月首次出現。
- ↑Qbot–一種銀行木馬,于2008年首次出現,旨在竊取用戶銀行憑證和鍵盤輸入信息。Qbot通常通過垃圾郵件分發,它采用了多種反虛擬機、反調試和反沙盒技術來阻止分析和逃避檢測。
1月份,TrickBot在Check Point的惡意軟件榜單上排名第三,在2020年整體排名第四,而排名第一的惡意軟件Emotet當時仍處在上升期。但是在全球執法部門在1月份聯手搗毀取締Emotet網絡之后,網絡犯罪分子紛紛轉向TrickBot。
對于全球執法搗毀Emotet的行動,報告指出:“即使消除了重大威脅,仍有許多其他威脅繼續對全球網絡構成高風險,因此企業不可掉以輕心,必須確保已建立了強大的安全系統,以防止其網絡受到破壞并最大程度地降低風險”。網絡犯罪分子快速從Emotet轉向TrickBot,恰好說明了這一點。
但是,Check Point的報告指出,TrickBot還沒有達到Emotet遭受打擊之前的鼎盛期水平。
總之,雖然目前還沒有一種惡意軟件能夠達到Emotet的活動規模,但潛在威脅的總體種類和數量都在持續增長,網絡和設備仍然面對極高且不斷增長的風險。Emotet留下的“空白”將很快被填補。
“大難不死”
TrickBot在二月份的垃圾郵件活動中被廣泛使用,針對保險和法律行業用戶,誘使用戶點擊惡意ZIP文檔。越來越多的網絡犯罪分子可能會選擇TrickBot作為新工具,因為后者在其他引人注目的活動中取得了成功,例如2020年對財富500強醫療機構UHS的攻擊,該攻擊利用Trickbot滲透并竊取數據,并投放了Ryuk勒索軟件。
Check Point認為,極佳的靈活性是TrickBot受到網絡犯罪分子青睞的原因之一。
TrickBot最初于2016年作為銀行木馬開發,其標志性特征是模塊化開發、快速功能迭代和提高逃避檢測的能力。例如去年12月,出現了一個名為“TrickBoot”的TrickBot新模塊,該模塊可用來掃描目標系統的UEFI/BIOS固件。
去年10月,Microsoft一度宣稱自己“搞定”了TrickBot。(參考閱讀:微軟接管了TrickBot僵尸網絡)
當時,微軟客戶安全與信任公司副總裁湯姆·伯特(Tom Burt)曾自豪地宣布:“我們通過法院命令以及與全球電信提供商合作執行的技術行動搗毀了TrickBot。”“我們現在已經切斷了TrickBot的關鍵基礎設施,那些運營TrickBot的不法分子將不再能發起新的感染或激活已經植入計算機系統的勒索軟件。”
顯然,TrickBot不僅康復了,而且還展開了復仇。
除TrickBot外,TOP3頂級惡意軟件的勢頭也不容小覷。根據Check Point的調查,2月份在網絡攻擊者中第二受歡迎的惡意軟件是XMRig,目前正在使用偽造的廣告攔截器的活動中使用XMRing來提供XMRig cryptominer和勒索軟件,這是雙重打擊攻擊。卡巴斯基在最近的一份報告中警告說,在過去的兩個月中,XMRig加密礦工/勒索軟件攻擊總共感染了2萬多名用戶。
漏洞之王
除了TrickBot加冕惡意軟件之王以外,Check Point的報告還提供了其他“榜單”,包括漏洞利用和移動惡意軟件榜單。2月份被利用最多的漏洞是“Web服務器暴露的Git存儲庫信息泄露”,它影響了全球48%的組織。其次是“HTTP標頭遠程執行代碼(CVE-2020-13756)”,它影響了全球46%的組織,“ MVPower DVR遠程執行代碼”則排名第三,影響了45%。
移動惡意軟件列表上排名第一的是Hiddad,其次是帶有廣告填充程序和FurBall移動遠程訪問木馬(MRAT)的xHelper惡意應用程序。
除了定期修補和更新以防止已知漏洞外,報告建議對用戶進行培訓,這是保護任何組織免受網絡安全破壞的最佳方法。報告指出:“對所有員工進行全面培訓至關重要,因此他們必須具備識別傳播Trickbot和其他惡意軟件的惡意電子郵件所需的技能。”
參考資料:
https://www.checkpoint.com/press/2021/february-2021s-most-wanted-malware-trickbot-takes-over-following-emotet-shutdown/
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
