恶意软件新王:TrickBot
僵尸网络TrickBot和Emotet是网络犯罪份子发动攻击最常用的初始访问入口,也是大多数勒索软件的主流投放平台,二者拥有媲美硅谷创业公司的“创新”速度,技术迭代很快,多年来让企业安全部门和网络安全公司疲于奔命,束手无策。但是随着今年一月份全球执法部门的一系列强有力的联合行动捣毁Emotet基础设施之后,恶意软件榜单排名发生了较大变化。
恶意软件之王
根据Check Piont最新发布的威胁报告,2月份曾经的恶意软件之王——Emotet在全球范围内被捣毁,但TrickBot木马僵尸网络则通过一波全球攻势宣布强势回归,跃居2月份最受欢迎的恶意软件榜首,TOP3分别如下:
- ↑Trickbot–占主导地位的僵尸网络和银行木马,不断用新功能和发行媒介进行更新。这使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
- ↑XMRig–是门罗币开源CPU挖矿软件,于2017年5月首次出现。
- ↑Qbot–一种银行木马,于2008年首次出现,旨在窃取用户银行凭证和键盘输入信息。Qbot通常通过垃圾邮件分发,它采用了多种反虚拟机、反调试和反沙盒技术来阻止分析和逃避检测。
1月份,TrickBot在Check Point的恶意软件榜单上排名第三,在2020年整体排名第四,而排名第一的恶意软件Emotet当时仍处在上升期。但是在全球执法部门在1月份联手捣毁取缔Emotet网络之后,网络犯罪分子纷纷转向TrickBot。
对于全球执法捣毁Emotet的行动,报告指出:“即使消除了重大威胁,仍有许多其他威胁继续对全球网络构成高风险,因此企业不可掉以轻心,必须确保已建立了强大的安全系统,以防止其网络受到破坏并最大程度地降低风险”。网络犯罪分子快速从Emotet转向TrickBot,恰好说明了这一点。
但是,Check Point的报告指出,TrickBot还没有达到Emotet遭受打击之前的鼎盛期水平。
总之,虽然目前还没有一种恶意软件能够达到Emotet的活动规模,但潜在威胁的总体种类和数量都在持续增长,网络和设备仍然面对极高且不断增长的风险。Emotet留下的“空白”将很快被填补。
“大难不死”
TrickBot在二月份的垃圾邮件活动中被广泛使用,针对保险和法律行业用户,诱使用户点击恶意ZIP文档。越来越多的网络犯罪分子可能会选择TrickBot作为新工具,因为后者在其他引人注目的活动中取得了成功,例如2020年对财富500强医疗机构UHS的攻击,该攻击利用Trickbot渗透并窃取数据,并投放了Ryuk勒索软件。
Check Point认为,极佳的灵活性是TrickBot受到网络犯罪分子青睐的原因之一。
TrickBot最初于2016年作为银行木马开发,其标志性特征是模块化开发、快速功能迭代和提高逃避检测的能力。例如去年12月,出现了一个名为“TrickBoot”的TrickBot新模块,该模块可用来扫描目标系统的UEFI/BIOS固件。
去年10月,Microsoft一度宣称自己“搞定”了TrickBot。(参考阅读:微软接管了TrickBot僵尸网络)
当时,微软客户安全与信任公司副总裁汤姆·伯特(Tom Burt)曾自豪地宣布:“我们通过法院命令以及与全球电信提供商合作执行的技术行动捣毁了TrickBot。”“我们现在已经切断了TrickBot的关键基础设施,那些运营TrickBot的不法分子将不再能发起新的感染或激活已经植入计算机系统的勒索软件。”
显然,TrickBot不仅康复了,而且还展开了复仇。
除TrickBot外,TOP3顶级恶意软件的势头也不容小觑。根据Check Point的调查,2月份在网络攻击者中第二受欢迎的恶意软件是XMRig,目前正在使用伪造的广告拦截器的活动中使用XMRing来提供XMRig cryptominer和勒索软件,这是双重打击攻击。卡巴斯基在最近的一份报告中警告说,在过去的两个月中,XMRig加密矿工/勒索软件攻击总共感染了2万多名用户。
漏洞之王
除了TrickBot加冕恶意软件之王以外,Check Point的报告还提供了其他“榜单”,包括漏洞利用和移动恶意软件榜单。2月份被利用最多的漏洞是“Web服务器暴露的Git存储库信息泄露”,它影响了全球48%的组织。其次是“HTTP标头远程执行代码(CVE-2020-13756)”,它影响了全球46%的组织,“ MVPower DVR远程执行代码”则排名第三,影响了45%。
移动恶意软件列表上排名第一的是Hiddad,其次是带有广告填充程序和FurBall移动远程访问木马(MRAT)的xHelper恶意应用程序。
除了定期修补和更新以防止已知漏洞外,报告建议对用户进行培训,这是保护任何组织免受网络安全破坏的最佳方法。报告指出:“对所有员工进行全面培训至关重要,因此他们必须具备识别传播Trickbot和其他恶意软件的恶意电子邮件所需的技能。”
参考资料:
https://www.checkpoint.com/press/2021/february-2021s-most-wanted-malware-trickbot-takes-over-following-emotet-shutdown/
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
点赞 0
- 上一篇
![优秀的自媒体个人博客,低调大师,许军]()
全球疫情期间网络安全创业六大趋势
本文转载自微信公众号“数世咨询”(dwconcn)。 新冠肺炎疫情砍掉了大量融资交易,但网络安全初创公司的情况比其他很多行业都更乐观。 1. 网络安全交易量保持平稳 DataTribe近期发布的报告显示,2020年美国各行各业的风险投资交易大幅萎缩。种子阶段(公司还只不过是产品或服务的创意)的交易量骤降39.7%,A轮(公司的首个重要风投融资轮)交易量下滑32%。与该总体趋势相悖的是,网络安全行业风险投资依然相对活跃。DataTribe发现,尽管过去两年来网络安全交易量有所下滑,但这些回落都发生在疫情开始前,2020年的交易量直到第四季度末都相对平稳。 2. 累计融资交易价值呈下降趋势 Momentum Cyber的分析师发现,2020年第三季度,各阶段初创公司筹集的资金与2019年第三季度持平,都是26亿美元。然而,2020年一到三季度这些金融交易的总额却与去年同期相比下降了约22%。所以,尽管年末反弹,市场却尚未完全赶上前三个季度落下的里程。 3. 并购活动遭遇最大打击 Momentum Cyber发现,降幅最大的领域是并购活动,2020年几乎没给后期网络初创公司留下多少退出机会。...
- 下一篇
![优秀的自媒体个人博客,低调大师,许军]()
2021年多数企业计划增加网络安全支出
根据NCC Group对网络安全决策者的最新研究,在过去12个月中,IT预算削减、裁员、网络弹性项目的延迟以及远程工作的增加,都可能增加组织遭受网络攻击的风险。 调查显示,2020年40%的受访企业暂停了网络招聘,29%进行了裁员,20%负责网络韧性计划的人员被休假。 30%的网络弹性项目被延迟或取消,其中27%的受访企业的网络韧性预算被削减。但是,数据表明,这些措施可能会对安全状况产生负面影响:超过70%的削减预算、裁员或延迟,取消其网络项目的企业表示,遭受的网络攻击有所增加。 同时,有一半的企业网络安全决策者报告说远程工作有所增加,其中有66%的决策者发现网络钓鱼和勒索软件攻击增加。运营上的转变也增加网络弹性中“人的因素”的担忧:39%的企业报告内部威胁增加,同时有51%的企业认为远程办公是安全威胁增加的原因。 令人鼓舞的是,三分之二的网络安全决策者表示将在2021年增加网络安全方面的支出,其中“提高安全性”成为投资的重中之重。 受访者还认识到人员在维护网络韧性方面所扮演的重要角色,有66%的受访者承认内部安全技能短缺是未来6到12个月的主要挑战。为了解决这一短缺问题,三分之二的组...
微信收款码
支付宝收款码