僵尸網(wǎng)絡(luò)TrickBot和Emotet是網(wǎng)絡(luò)犯罪份子發(fā)動(dòng)攻擊最常用的初始訪問(wèn)入口，也是大多數(shù)勒索軟件的主流投放平臺(tái)，二者擁有媲美硅谷創(chuàng)業(yè)公司的“創(chuàng)新”速度，技術(shù)迭代很快，多年來(lái)讓企業(yè)安全部門和網(wǎng)絡(luò)安全公司疲于奔命，束手無(wú)策。但是隨著今年一月份全球執(zhí)法部門的一系列強(qiáng)有力的聯(lián)合行動(dòng)搗毀Emotet基礎(chǔ)設(shè)施之后，惡意軟件榜單排名發(fā)生了較大變化。

[[387541]]

惡意軟件之王

根據(jù)Check Piont最新發(fā)布的威脅報(bào)告，2月份曾經(jīng)的惡意軟件之王——Emotet在全球范圍內(nèi)被搗毀，但TrickBot木馬僵尸網(wǎng)絡(luò)則通過(guò)一波全球攻勢(shì)宣布強(qiáng)勢(shì)回歸，躍居2月份最受歡迎的惡意軟件榜首，TOP3分別如下：

• ↑Trickbot–占主導(dǎo)地位的僵尸網(wǎng)絡(luò)和銀行木馬，不斷用新功能和發(fā)行媒介進(jìn)行更新。這使Trickbot成為靈活且可自定義的惡意軟件，可以作為多用途活動(dòng)的一部分進(jìn)行分發(fā)。
• ↑XMRig–是門羅幣開源CPU挖礦軟件，于2017年5月首次出現(xiàn)。
• ↑Qbot–一種銀行木馬，于2008年首次出現(xiàn)，旨在竊取用戶銀行憑證和鍵盤輸入信息。Qbot通常通過(guò)垃圾郵件分發(fā)，它采用了多種反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)來(lái)阻止分析和逃避檢測(cè)。

1月份，TrickBot在Check Point的惡意軟件榜單上排名第三，在2020年整體排名第四，而排名第一的惡意軟件Emotet當(dāng)時(shí)仍處在上升期。但是在全球執(zhí)法部門在1月份聯(lián)手搗毀取締Emotet網(wǎng)絡(luò)之后，網(wǎng)絡(luò)犯罪分子紛紛轉(zhuǎn)向TrickBot。

對(duì)于全球執(zhí)法搗毀Emotet的行動(dòng)，報(bào)告指出：“即使消除了重大威脅，仍有許多其他威脅繼續(xù)對(duì)全球網(wǎng)絡(luò)構(gòu)成高風(fēng)險(xiǎn)，因此企業(yè)不可掉以輕心，必須確保已建立了強(qiáng)大的安全系統(tǒng)，以防止其網(wǎng)絡(luò)受到破壞并最大程度地降低風(fēng)險(xiǎn)”。網(wǎng)絡(luò)犯罪分子快速?gòu)腅motet轉(zhuǎn)向TrickBot，恰好說(shuō)明了這一點(diǎn)。

但是，Check Point的報(bào)告指出，TrickBot還沒(méi)有達(dá)到Emotet遭受打擊之前的鼎盛期水平。

總之，雖然目前還沒(méi)有一種惡意軟件能夠達(dá)到Emotet的活動(dòng)規(guī)模，但潛在威脅的總體種類和數(shù)量都在持續(xù)增長(zhǎng)，網(wǎng)絡(luò)和設(shè)備仍然面對(duì)極高且不斷增長(zhǎng)的風(fēng)險(xiǎn)。Emotet留下的“空白”將很快被填補(bǔ)。

“大難不死”

TrickBot在二月份的垃圾郵件活動(dòng)中被廣泛使用，針對(duì)保險(xiǎn)和法律行業(yè)用戶，誘使用戶點(diǎn)擊惡意ZIP文檔。越來(lái)越多的網(wǎng)絡(luò)犯罪分子可能會(huì)選擇TrickBot作為新工具，因?yàn)楹笳咴谄渌俗⒛康幕顒?dòng)中取得了成功，例如2020年對(duì)財(cái)富500強(qiáng)醫(yī)療機(jī)構(gòu)UHS的攻擊，該攻擊利用Trickbot滲透并竊取數(shù)據(jù)，并投放了Ryuk勒索軟件。

Check Point認(rèn)為，極佳的靈活性是TrickBot受到網(wǎng)絡(luò)犯罪分子青睞的原因之一。

TrickBot最初于2016年作為銀行木馬開發(fā)，其標(biāo)志性特征是模塊化開發(fā)、快速功能迭代和提高逃避檢測(cè)的能力。例如去年12月，出現(xiàn)了一個(gè)名為“TrickBoot”的TrickBot新模塊，該模塊可用來(lái)掃描目標(biāo)系統(tǒng)的UEFI/BIOS固件。

去年10月，Microsoft一度宣稱自己“搞定”了TrickBot。(參考閱讀：微軟接管了TrickBot僵尸網(wǎng)絡(luò))

當(dāng)時(shí)，微軟客戶安全與信任公司副總裁湯姆·伯特(Tom Burt)曾自豪地宣布：“我們通過(guò)法院命令以及與全球電信提供商合作執(zhí)行的技術(shù)行動(dòng)搗毀了TrickBot。”“我們現(xiàn)在已經(jīng)切斷了TrickBot的關(guān)鍵基礎(chǔ)設(shè)施，那些運(yùn)營(yíng)TrickBot的不法分子將不再能發(fā)起新的感染或激活已經(jīng)植入計(jì)算機(jī)系統(tǒng)的勒索軟件。”

顯然，TrickBot不僅康復(fù)了，而且還展開了復(fù)仇。

除TrickBot外，TOP3頂級(jí)惡意軟件的勢(shì)頭也不容小覷。根據(jù)Check Point的調(diào)查，2月份在網(wǎng)絡(luò)攻擊者中第二受歡迎的惡意軟件是XMRig，目前正在使用偽造的廣告攔截器的活動(dòng)中使用XMRing來(lái)提供XMRig cryptominer和勒索軟件，這是雙重打擊攻擊?？ò退够谧罱囊环輬?bào)告中警告說(shuō)，在過(guò)去的兩個(gè)月中，XMRig加密礦工/勒索軟件攻擊總共感染了2萬(wàn)多名用戶。

漏洞之王

除了TrickBot加冕惡意軟件之王以外，Check Point的報(bào)告還提供了其他“榜單”，包括漏洞利用和移動(dòng)惡意軟件榜單。2月份被利用最多的漏洞是“Web服務(wù)器暴露的Git存儲(chǔ)庫(kù)信息泄露”，它影響了全球48%的組織。其次是“HTTP標(biāo)頭遠(yuǎn)程執(zhí)行代碼(CVE-2020-13756)”，它影響了全球46%的組織，“ MVPower DVR遠(yuǎn)程執(zhí)行代碼”則排名第三，影響了45%。

移動(dòng)惡意軟件列表上排名第一的是Hiddad，其次是帶有廣告填充程序和FurBall移動(dòng)遠(yuǎn)程訪問(wèn)木馬(MRAT)的xHelper惡意應(yīng)用程序。

除了定期修補(bǔ)和更新以防止已知漏洞外，報(bào)告建議對(duì)用戶進(jìn)行培訓(xùn)，這是保護(hù)任何組織免受網(wǎng)絡(luò)安全破壞的最佳方法。報(bào)告指出：“對(duì)所有員工進(jìn)行全面培訓(xùn)至關(guān)重要，因此他們必須具備識(shí)別傳播Trickbot和其他惡意軟件的惡意電子郵件所需的技能。”

參考資料：

https://www.checkpoint.com/press/2021/february-2021s-most-wanted-malware-trickbot-takes-over-following-emotet-shutdown/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文