水能载舟也能覆舟,在企业拥抱开源软件的同时,黑客也拿来进行攻击工具的开发。最近2年屡遭勒索软件黑客滥用的僵尸网络Trickbot,安全公司Kryptos Logic发现黑客在恶意软件里加入名为Masrv的网络探测模块,企图在感染Windows计算机后,进一步调查受害计算机所属的网络环境,收集有关信息。该公司提供了入侵指标(IoC)与YARA特征码,让网管人员能够防范Trickbot的情搜行为。
Masrv模块是网络扫描工具,黑客从开放源码的Masscan改造而成。一旦Trickbot被植入计算机后,该模块就会依据Windows操作系统的版本,来执行32位元或64位元的DLL文件。黑客Trickbot纳入这个模块的意图为何?Kryptos Logic认为,他们很可能是在测试能否借由这种工具,来增加扩散该恶意软件的速度。
Kryptos Logic同时披露Masrv的运行原理,以及其中的会执行的指令等细节。该公司也在Masrv的程序代码里,发现与Anchor的C&C中继站通信的功能,以及写死的IP地址清单,而这些IP地址与Trickbot变种恶意软件Anchor和Bazar有关。
去年10月初,Trickbot才被微软与全球多家安全厂商及电信企业联手,切断其C&C中继站的IP地址,但传出不久之后背后的经营者就继续运营,并且出现会滥用UEFI漏洞的模块Trickboot,使得Trickbot控制受害计算机的能力更强大。
而在2021年初出现了一些变量,而使得Trickbot可能因此变得更加壮大。许多勒索软件黑客组织所依赖的大型僵尸网络Emotet于2021年1月底遭到封锁,这很可能使得他们改搭配Trickbot来入侵受害计算机,而使得这个僵尸网络影响更加深远。