Af Eskil Sørensen, 22/10/20
Trickbot ser ud til være kommet under pres efter en koordineret indsats under ledelse af Microsoft og hostingudbydere, som målrettet er gået efter botnettets command- and control-servere. Det skriver Security Week og Bleeping Computer på baggrund af en update fra Microsoft den 18. oktober.
En koordineret forsøg på nedlukning af Trickbot
Som vi skrev om i sidste uge meddelte Microsoft og dets partnere, at de havde taget nogle Trickbot C2'er ned. Dette var gjort muligt, efter at en amerikansk domstol i Virginia imødekom en anmodning om at fjerne 19 IP-adresser i USA, som Trickbot har brugt til at kontrollere inficerede computere.
I et blogindlæg har Microsoft skrevet en opdatering om nedlukningsforsøget. Her fremgår det, at Microsoft sammen med partnere over hele verden har arbejdet på at deaktivere størstedelen af Trickbots infrastruktur. Microsoft skriver, at den 18. oktober er 120 ud af 128 Trickbot-servere lukket siden starten af indsatsen.
Genopblussen af aktivitet
Eftersom Trickbot er vært for command- and control-servere på kunde- og forretningsroutere, arbejder Microsoft efter det oplyste sammen med internetudbydere (ISP'er) for at hjælpe med at rette op på enhederne uden at afbryde legitim trafik. Det har resulteret i, at Trickbot-administratorerne har fået travlt med at oprette en ny infrastruktur, hvilket tager tid, og det afspejler sig i hyppigheden af nye angreb. De bruger også forskellige servere til at kommunikere til bots’ene og til at levere plugins dedikeret til specifikke opgaver, så som at stjæle adgangskoder, stjæle trafik og udbrede malware.
Ifølge Bleeping Computer har Intel 471 bemærket, at Trickbot-administratorerne i sidste uge opdaterede pluginserverkonfigurationsfilen med 15 nye IP'er. De opbevarede to ældre adresser sammen med serverens .onion-domæne, der kan nås via Tor-netværket.
Trods de positive toner vil det stadig være besværligt at stoppe Trickbot, fordi botnettets administratorer har partnere, der er villige til at sprede malwaren.
Sources:
https://www.securityweek.com/new-trickbot-control-servers-unable-respond-bot-requests
https://public.intel471.com/blog/global-trickbot-disruption-operation-shows-promise/