TrickBot 运营商使用新变体攻击 Linux 系统扩大目标名单

几天前，微软的 Defender 团队 FS-ISAC，ESET，Lumen 的 Black Lotus Labs，NTT 以及Broadcom的网络安全部门Symantec齐心协力，并宣布了共同的努力，以拆除臭名昭著的TrickBot僵尸网络的命令和控制基础结构 。

在构成Trickbot基础结构的128台服务器中，Microsoft减少了120台。

微软宣布已取消了最初的69台TrickBot C＆C服务器中的62台，上周无法关闭的7台服务器是物联网（IoT）设备。

微软还透露，运营商试图恢复运营。在最近的失败之后，该公司关闭了运营商尝试使之联机的59台服务器中的58台。

根据安全公司Netscout的研究人员发布的一份新报告，TrickBot的运营商已经开始使用他们的恶意软件的新变体，试图攻击Linux系统并扩大其目标名单。

TrickBot是一种流行的银行木马，自2016年10月以来一直存在，其作者通过实现新功能对其进行了不断升级。

在2019年底，研究人员发现了一个名为Anchor的新TrickBot后门框架，该框架正在使用DNS协议进行C2通信。

第2阶段安全研究人员Waylon Grange于7月首次发现了Anchor_DNS的新Linux变种，并将其称为“ Anchor_Linux ”。

“著名的银行木马Trickbot背后的参与者最近开发了他们的新DNS命令和控制工具Anchor_DNS的Linux端口。” 格兰奇解释说。

“该恶意软件通常作为zip的一部分提供，是一种轻量级的Linux后门。执行后，它将自身安装为 cron job，确定主机的公共IP [地址]，然后开始通过DNS查询向其C2服务器发送信标。”

Netscout的研究人员现在发布了对该变体的分析，详细介绍了bot与C2服务器之间的通信流。

客户端向服务器发送“ c2_command 0 ”以及有关受感染系统和僵尸程序ID的信息，然后服务器将消息“信号/ 1 /”返回给僵尸程序。

被感染的主机通过将相同的消息发送回C2进行响应，然后C2发送要由机器人执行的命令。一旦执行了该命令，该机器人就会将执行结果发送到C2服务器。

“ Anchor的C2通信的复杂性以及该机器人可执行的有效负载不仅反映了Trickbot参与者的相当大的能力的一部分，而且还反映了他们不断创新的能力，这证明了他们向Linux的迁移。” 总结报告。“必须指出的是，Trickbot运营商并非唯一意识到实现针对其他操作系统的价值的对手”