微软利用商标法捣毁臭名昭著的Trickbot僵尸网络

微软日前发动了一起有组织的法律突袭，并宣布成功破坏世界上最臭名昭著的传播勒索软件之一的Trickbot僵尸网络。

Trickbot是目前世界上最强大的僵尸网络之一，自2016年以来感染设备超过100万台，传播勒索软件并窃取用户数据。

资料显示，Trickbot 已劫持超 2.5 亿个电子邮件账户，不断将新的恶意软件副本从电子邮件账户发送给受害者联系人。

Trickbot僵尸网络提供的“恶意软件即服务”服务使其成为部署各类勒索软件、锁定公司网络上受感染系统的可靠工具。

尽管世界头号勒索软件 Ryuk目前已有意减少商业木马和僵尸网络的入侵，转而使用可以绕过安全工具的非现场工具。

但僵尸网络TrickBot和Emotet却依旧大多数勒索软件的主流投放平台，且技术迭代速度飞快使网络安全公司无可奈何。

不过微软公司近日却是另辟蹊径，利用商标法联合世界各地网络运营商，接管了Trickbot大量互联网服务器的控制权。

微软表示将利用接管的Trickbot服务器来识别并协助受Trickbot恶意软件影响的Windows用户清除系统中的恶意软件。

但微软也承认此次行动并不能永久性的破坏Trickbot，毕竟该僵尸网络背后的犯罪团伙肯定会竭尽全力的恢复其运营。

值得注意的是，美国军方网络司令部在微软行动之前也针对Trickbot采取行动，旨在保护美国总统选举不受外界干扰。

美国军方攻击持续了大约十天，向所有受感染的Trickbot系统发送了指令让这些设备与Trickbot主控服务器断开连接。

很显然，Trickbot非简单的恶意软件，它是一个多阶段的恶意软件，通常由一个外壳、加载器和主恶意软件模块组成。

Trickbot外壳使用变化模板，能在感染的设备中迭代进化，利用独特脚本来逃避检测，即使主要的恶意软件代码不变。

而且用于Trickbot控制器的IP地址集是动态的，这就导致安全人员根本无法做到彻底的将这一僵尸网络消灭在网络中。

长期跟踪Trickbot僵尸网络服务器的瑞士安全站点Feodo Tracker实时信息显示：有六个新的Trickbot控制服务器上线。