安全博客Krebs on Security本周先报道,主要锁定Windows平台并造成极大损害的Trickbot僵尸网路遭到不明人士出手破坏,使之一度瘫痪。
Trickbot是近年相当活跃的僵尸网络恶意程序。TrickBot一开始只是个Windows上的金融木马程序,锁定各种国际银行以窃取用户的登录凭证,但近年衍生出可在网络中横向扩散、窃取存储于浏览器中的凭证、Cookies等能力,它还提供僵尸网络服务,可用于大规模传播勒索软件,像是最近感染美国最大医院连锁之一UHS的勒索软件Ryuk也和它有关。一家从事资料恢复的安全公司Hold Security估计,Trickbot已窃取了全球270多万台Windows PC的密码及金融资料。
Trickbot僵尸计算机网络背后的黑客,一般使用组态档对已感染Trickbot的Windows计算机交付新指令,像是发送某个IP位置,要求所有僵尸计算机下载新版恶意程序。安全厂商研究人员发现,9月22日一名不知名人士对这些Windows计算机发布一个新的组态档,告知它们新的控制服务器位置在127.0.0.1,这是一个localhost IP位置,无法从公开互联网访问,意味着它们什么指令也接收不了。
Intel 471是在10月1日发现这个现象,不久后,所有Trickbot控制服务器无法正确回应僵尸计算机大军的调用,两件事时间点十分接近,安全公司猜测有人在对Trickbot控制网络刻意搞破坏。
Intel 471首席执行官Mark Arena指出,谁出手攻击则不得而知,安全研究社群、政府、内鬼,或是对手黑客组织都有可能。安全厂商也不知这假的组态档部署到多少Windows僵尸计算机上。
不过可以确定的是,Trickbot背后的集团会设法夺回控制权,因为它还内置了恢复系统,必要时可以转由架在分布式网名系统EmerDNS上的控制器来接手控制。
除了9月底的攻击外,Hold Security也发现有人对Trickbot网络喂送大量假资料。新产生的假资料让感染Trickbot的机器10月1日一下激增到700多万,宿主机器分别位于美国国防部、摩根大通、花旗银行等。Hold Security推测这波假资料旨在搞乱Trickbot的数据库、扰乱其行动。
这些攻击行为成效如何还有待厘清,不过安全公司警告,这也可能激怒黑客引发严重后果。例如他们侦测到依赖Trickbot的黑客扬言要提高勒索金额到2倍。
这并非唯一一波攻击僵尸网络的行动。7月间僵尸网络恶意程序Emotet也被人动手脚,将受害计算机中应该下载Emotet的Office文件连接来源,置换成Giphy和Imgur托管的无害动态GIF档。