微軟搗毀的 TrickBot 僵尸網??絡仍然存在，為此開創了新的法律先例

Trickbot 勒索軟件僵尸網絡相關閱讀：
微軟與其他安全公司合作摧毀了臭名昭著的 Trickbot 勒索軟件僵尸網絡

TrickBot僵尸網絡在一次由科技公司聯盟精心策劃的下架嘗試中幸存下來。

信息安全社區的多個消息人士稱，昨天占領的TrickBot命令與控制（C＆C）服務器和域已由新的基礎架構取代。

監視TrickBot活動的公司的消息來源稱，此次下架的影響是“暫時的”和“有限的”，但稱贊微軟及其合作伙伴所做的努力，無論其當前結果如何。

一位安全研究人員說：“我們現在估計撤離行動是為了讓目前的受害者喘口氣。”

雖然一些公司同意公開發言，但決定避免使用我們接受采訪的任何消息來源的名稱，以避免間接批評參與此次下架的實體（微軟的Defender團隊，FS-ISAC，ESET，Lumen’s Black Lotus Labs，NTT，以及Broadcom的網絡安全部門Symantec）。

但是，在私人采訪中，甚至ESET，微軟和賽門鐵克的安全研究人員都表示，他們從未期望過一擊就把TrickBot永久銷毀。

一位消息人士稱，周一的行動是破壞僵尸網絡，而不是摧毀僵尸網絡。據獲悉，即使從早期計劃階段開始，有關各方仍希望TrickBot卷土重來，并計劃采取后續行動。

微軟客戶安全與信任副總裁 Tom Burt 周一在一封電子郵件中說：“正如我們在先前的摧毀操作中所看到的那樣，涉及多個合作伙伴的全球破壞的結果正在逐步顯現。”

Burt補充說：“我們預計Trickbot的運營商將嘗試恢復其運營，如有必要，我們將采取更多的法律和技術步驟來阻止其運營。”

這種破壞TrickBot的多階段方法是僵尸網絡復雜基礎架構的直接結果，該僵尸網絡復雜的基礎架構在防彈托管系統上運行，這些系統對刪除嘗試沒有反應或反應遲鈍。

安全公司Intel471指出，TrickBot開始將C＆C服務器移至EmerDNS分散式域名系統，以此作為對抗正在進行的攻擊企圖的一種方式。到周二早上，僵尸網絡的基礎設施已經恢復，盡管它沒有前幾天那么活躍。

EVEN A FAILED TAKEDOWN ATTEMPT HAS ITS EFFECTS

消息人士說，破壞工作不僅集中在摧毀TrickBot服務器上，他們知道這是暫時的，不會產生長期影響。

還討論并考慮了其他目標。這包括給TrickBot作者增加額外的費用，并延遲當前的惡意軟件操作，例如通常使用TrickBot作為管道進行的勒索軟件攻擊。

此外，安全研究人員還試圖破壞TrickBot在網絡犯罪圈中的聲譽。

TrickBot是當今在網絡犯罪黑社會中最成功的三大惡意軟件即服務（MaaS）運營之一。僵尸網絡使用電子郵件垃圾郵件活動來感染計算機，下載其惡意軟件，然后從受感染的主機竊取數據，然后將其轉售以牟利。但是，僵尸網絡也將對受感染計算機的訪問權出租給其他犯罪集團，這也占了其利潤的很大一部分。這些“客戶”包括信息竊取者木馬，BEC欺詐組織，勒索軟件幫派甚至民族國家的黑客組織的運營商。

微軟及其合作伙伴希望損害其他網絡犯罪團伙的聲譽，并發送一條信息，表明TrickBot并非像其“客戶”所認為的那樣不可動搖。

可能被破壞的僵尸網絡冒著暴露和損害“客戶”操作的風險，其中有些可能不希望受到執法部門跟蹤。可能被破壞的僵尸網絡在商業上并不可靠，特別是對于TrickBot的常規客戶而言，這些客戶要支付大量費用才能在準確時間訪問受感染的系統。

研究人員希望TrickBot在本周收到的反饋能在整個業務中得到回響。

新的法律先例

但是TrickBot的移除也起到了另一種作用，這對于大多數觀察者來說是看不見的。刪除之前的法院案件也幫助微軟樹立了新的法律先例。

在法庭上，操作系統制造商辯稱，TrickBot惡意軟件濫用Windows代碼出于惡意目的，違反了使用所有Windows應用程序的標準Windows軟件開發工具包（SDK）的服務條款。

微軟成功辯稱，TrickBot通過出于惡意目的復制和使用其SDK侵犯了其自身代碼的微軟版權。

有些人可能會認為這種方法可以將僵尸網絡刪除為瑣事或腳，但這也是一種天才的法律舉措。

在以前的案例中，Microsoft或執法部門通常必須出示證據，并準備證明該惡意軟件正在對特定轄區中的受害者造成經濟損失，這些步驟通常意味著識別并聯系受害者。

新方法集中在濫用其Windows SDK代碼是容易證明和爭論,但它也可以用在任何管轄,為微軟的法律團隊提供更敏捷方法在惡意軟件團伙——這就是為什么微軟可能重用它在未來更快的鎮壓。