上个季度,伴随而来的是数量惊人的政治广告、关于气候变化、枪支法和蚊子的令人震惊和分裂的新闻报道。我们恨蚊子。在相关的令人不快的消息中,它还显然开辟了一个银行业木马时代,到目前为止,银行业还没有显示出放缓的迹象。
首先是表情.但在过去几个月里,Emotet遇到了一些激烈的竞争。事实上,这个已经很危险的威胁在10月份沉寂了几周,而它的作者做出了调整,加大了赌注,增加了一个新的模块,可以过滤电子邮件。为什么?因为城里有一种更新,更复杂的银行木马试图渗透到商业网络中,给Emotet带来竞争。
它的名字是TrickBot.
现在,TrickBot已经超过Emotet,成为我们对企业的头号威胁,尤其是在过去的60天里,它的活跃度有所上升。必威官网多少受影响最大的是北美,欧洲、中东和非洲(EMEA)紧随其后。最近TrickBot活动的激增甚至引发了国家网络安全中心在英国向各组织发出咨询警告,立即实施缓解协议,为袭击做好准备。
编织物特征
TrickBot的作者是灵活而具有创造性,定期开发和推出新的功能,这是什么使这个特殊的银木马非常危险。为什么Emotet被锁定在各种与TrickBot的军备竞赛,以攻击和传播的日益复杂的方法争夺市场份额很可能。
那么,什么是TrickBot?开发于2016年,是市场上最近的银行木马之一,其许多原始功能的灵感来自Dyreza,另一个充当数据窃取者的银行特洛伊木马。除了通过webinjects瞄准大量国际银行,Trickbot还可以使用Mimikatz黑客工具获取电子邮件和凭证。其他的客厅把戏包括从比特币钱包中偷窃的能力。
TrickBot以模块形式提供,并附带一个配置文件。每个模块都有一个特定的任务,例如获取持久性、传播、窃取凭据、加密等。C&C是建立在被黑客攻击的无线路由器上的。
感染媒介
TrickBot通过恶意的垃圾邮件(malspam)活动,例如,典型的矛传播网络钓鱼伪装成未付发票的电子邮件或更新账户信息的请求。
其他传播方法包括嵌入的URL和受感染的附件,例如启用宏的Microsoft Word文档。TrickBot也被认为是由Emotet引起的继发感染。
而且,由于国安局窃取的漏洞不断证明它们的价值,一旦它感染了一个端点,骗术机器人就可以通过网络横向传播利用SMB漏洞(MS17-010),包括“永恒之蓝”、“永恒之浪漫”或“永恒之冠军”漏洞。
聪明的女孩。
影响到企业
端点用户不会注意到TrickBot感染症状。然而,网络管理员可能会看到在交通或试图改变接触到黑名单的IP地址和域名,因为恶意软件将与TrickBot的指挥和控制基础设施沟通exfiltrate数据和接收任务。
TrickBot收益持久性的创建计划任务。而且由于它会通过公司的网络SMB漏洞进行传播的方式,在网络上的任何受感染的计算机会重新感染那些已经当他们重新加入网络预先清洗机。
因此,IT团队需要逐个隔离、修补和修复每个受感染的系统。这可能是一个漫长而艰苦的过程,耗费时间和资源。与勒索软件攻击非常相似,针对TrickBot等威胁的最佳防护措施是首先主动预防感染。然而,这并不总是可能的。
预防
据Osterman Research的网络犯罪的真实成本进行了2018年的研究中,美国企业53%已经经历了去年一个钓鱼攻击。另外23%目睹鱼叉式网络钓鱼攻击。还有一个原因,这种攻击向量是如此受欢迎:它仍然是非常有效的。
在任何特定的网络钓鱼活动中,平均有百分之四的目标会点击它。但关键是:有人点击的网络钓鱼邮件越多,他们再次点击的可能性就越大。更糟糕的是,尽管大多数人不点击网络钓鱼邮件,但只有27%的人报告了这些邮件。在一个商业环境中,这不是一件好事。
认为这是时间组织教育其如何识别网络钓鱼企图的员工?当然有。一个最简单的方法来阻止像TrickBot威胁,它们通过malspam /钓鱼活动开始蔓延,是用户对培训发现可疑邮件一英里外就能看到,即使是在名牌公司的掩护下。此外,教导用户立即向正确的团队报告可疑电子邮件的重要性,将有助于减少检测和响应网络钓鱼攻击的时间。
但是培训不应该止步于此.与访问最敏感的个人数据,因为它们可能会被有针对性,并提供特定角色的教育工作紧密结合。告诉他们如何识别钓鱼矛和强调健康的怀疑主义的重要性。他们是看门人,他们必须保持警惕。
不只是终端用户需要一点(网络钓鱼)知识。和他们一起训练应急人员。测试它们的能力,以检测活动、识别潜在受感染的主机、确定对受影响的机器采取了哪些操作,并确认是否发生了数据外泄。
如果您定期培训您的员工和响应团队,并提供后续研讨会,特别是那些未能识别或报告网络钓鱼,您的组织将能够成功地抵御网络钓鱼攻击或限制网络钓鱼成功的影响。
当然,提高员工意识是不是唯一的防护方法。修补的漏洞SMB可以保持TrickBot和使用这些漏洞通过网络从横向扩散等威胁。并使用全面的网络安全解决方案,阻止漏洞可以保持从受感染的端点。
纠正
必威平台APP的Malwarebytes可以检测并移除业务端点TrickBot没有进一步的用户交互。不过要论联网计算机有效,首先必须遵循以下步骤:
- 识别受感染的计算机。如果您有未受保护的端点/机器,您可以运行Farbar恢复扫描工具(FRST)来查找可能的折衷指标(IOC)。除了验证感染之外,FRST还可用于在将端点/机器带回网络之前验证是否已删除。
- 断开受感染计算机与网络的连接。
- 为每个端点打补丁MS 17-010.
- 禁用管理共享。在Windows Server默认安装隐藏共享文件夹专门用于向其他计算机的管理权限。该Admin $共享被TrickBot使用一旦蛮力迫使本地管理员密码。文件共享服务器的IPC $共享是TrickBot查询来获得连接到它的所有端点的列表。这些AdminIP股份通过UAC通常受到保护,但是,Windows将允许本地管理员通过无prompt.The最近Trickbot变种使用C $与管理员凭据走动,再感染其他所有endpoints.It推荐通过注册表禁用这些Admin $共享,如讨论这篇微软支持文章. 如果您没有看到此注册表项,可以手动添加并将其设置为禁用。
- 删除TrickBot木马。
- 更改帐户凭据。重复的再次感染表明蠕虫能够成功猜出或强制执行管理员密码。请更改所有本地和域管理员密码。
这是一个时代的威胁
TrickBot已经证明自己是一个最狡猾的敌人,但这并不意味着组织应该尖叫。它的模块化结构、SMB开发的使用以及简单而复杂的攻击向量(MalpAM/钓鱼活动)使它变得危险,是的,但是我们已经证明了保护这些特性的方法。通过对员工进行专门的网络钓鱼意识培训,一种防止漏洞攻击的网络安全解决方案,以及一些良好的老式修补程序,您不仅可以让个人在一周内不损失生产力,还可以让整个网络正常运行。
在魔术机器人时代,这可不是一件小事。
注释