微软捣毁的 TrickBot 僵尸网​​络仍然存在,为此开创了新的法律先例

Andrew 2020-10-14
专栏 - 事件 发布于 2020-10-14 11:58:28 阅读 54 评论 0

TrickBot僵尸网络在尝试删除后仍然存在,但微软树立了新的法律先例
Trickbot 勒索软件僵尸网络相关阅读:
微软与其他安全公司合作摧毁了臭名昭著的 Trickbot 勒索软件僵尸网络

TrickBot僵尸网络在一次由科技公司联盟精心策划的下架尝试中幸存下来。

信息安全社区的多个消息人士称,昨天占领的TrickBot命令与控制(C&C)服务器和域已由新的基础架构取代。

监视TrickBot活动的公司的消息来源称,此次下架的影响是“暂时的”和“有限的”,但称赞微软及其合作伙伴所做的努力,无论其当前结果如何。

一位安全研究人员说:“我们现在估计撤离行动是为了让目前的受害者喘口气。”

虽然一些公司同意公开发言,但决定避免使用我们接受采访的任何消息来源的名称,以避免间接批评参与此次下架的实体(微软的Defender团队,FS-ISAC,ESET,Lumen’s Black Lotus Labs,NTT,以及Broadcom的网络安全部门Symantec)。

但是,在私人采访中,甚至ESET,微软和赛门铁克的安全研究人员都表示,他们从未期望过一击就把TrickBot永久销毁。

一位消息人士称,周一的行动是破坏僵尸网络,而不是摧毁僵尸网络。据获悉,即使从早期计划阶段开始,有关各方仍希望TrickBot卷土重来,并计划采取后续行动。

微软客户安全与信任副总裁 Tom Burt 周一在一封电子邮件中说:“正如我们在先前的摧毁操作中所看到的那样,涉及多个合作伙伴的全球破坏的结果正在逐步显现。”

Burt补充说:“我们预计Trickbot的运营商将尝试恢复其运营,如有必要,我们将采取更多的法律和技术步骤来阻止其运营。”

这种破坏TrickBot的多阶段方法是僵尸网络复杂基础架构的直接结果,该僵尸网络复杂的基础架构在防弹托管系统上运行,这些系统对删除尝试没有反应或反应迟钝。

安全公司Intel471指出,TrickBot开始将C&C服务器移至EmerDNS分散式域名系统,以此作为对抗正在进行的攻击企图的一种方式。到周二早上,僵尸网络的基础设施已经恢复,尽管它没有前几天那么活跃。

EVEN A FAILED TAKEDOWN ATTEMPT HAS ITS EFFECTS

消息人士说,破坏工作不仅集中在摧毁TrickBot服务器上,他们知道这是暂时的,不会产生长期影响。

还讨论并考虑了其他目标。这包括给TrickBot作者增加额外的费用,并延迟当前的恶意软件操作,例如通常使用TrickBot作为管道进行的勒索软件攻击。

此外,安全研究人员还试图破坏TrickBot在网络犯罪圈中的声誉。

TrickBot是当今在网络犯罪黑社会中最成功的三大恶意软件即服务(MaaS)运营之一。僵尸网络使用电子邮件垃圾邮件活动来感染计算机,下载其恶意软件,然后从受感染的主机窃取数据,然后将其转售以牟利。但是,僵尸网络也将对受感染计算机的访问权出租给其他犯罪集团,这也占了其利润的很大一部分。这些“客户”包括信息窃取者木马,BEC欺诈组织,勒索软件帮派甚至民族国家的黑客组织的运营商。

微软及其合作伙伴希望损害其他网络犯罪团伙的声誉,并发送一条信息,表明TrickBot并非像其“客户”所认为的那样不可动摇。

可能被破坏的僵尸网络冒着暴露和损害“客户”操作的风险,其中有些可能不希望受到执法部门跟踪。可能被破坏的僵尸网络在商业上并不可靠,特别是对于TrickBot的常规客户而言,这些客户要支付大量费用才能在准确时间访问受感染的系统。

研究人员希望TrickBot在本周收到的反馈能在整个业务中得到回响。

新的法律先例

但是TrickBot的移除也起到了另一种作用,这对于大多数观察者来说是看不见的。删除之前的法院案件也帮助微软树立了新的法律先例。

在法庭上,操作系统制造商辩称,TrickBot恶意软件滥用Windows代码出于恶意目的,违反了使用所有Windows应用程序的标准Windows软件开发工具包(SDK)的服务条款。

微软成功辩称,TrickBot通过出于恶意目的复制和使用其SDK侵犯了其自身代码的微软版权。

有些人可能会认为这种方法可以将僵尸网络删除为琐事或脚,但这也是一种天才的法律举措。

在以前的案例中,Microsoft或执法部门通常必须出示证据,并准备证明该恶意软件正在对特定辖区中的受害者造成经济损失,这些步骤通常意味着识别并联系受害者。

新方法集中在滥用其Windows SDK代码是容易证明和争论,但它也可以用在任何管辖,为微软的法律团队提供更敏捷方法在恶意软件团伙——这就是为什么微软可能重用它在未来更快的镇压。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!