雖然頭號勒索軟件Ryuk已經(jīng)開始有意減少在商業(yè)木馬/僵尸網(wǎng)絡上的投放，轉而使用可以繞過安全工具的非現(xiàn)場工具，但是僵尸網(wǎng)絡TrickBot和Emotet依然是大多數(shù)勒索軟件的主流投放平臺，而且技術迭代速度很快，讓網(wǎng)絡安全公司們疲于奔命，束手無策。但是微軟公司最近卻另辟蹊徑，拿起法律武器“接管”了Trickbot僵尸網(wǎng)絡的基礎設施。

　　據(jù)知名安全博客KrebsonSecurity報道，微軟公司近日發(fā)動一次有組織的法律偷襲，以破壞惡意軟件即服務僵尸網(wǎng)絡Trickbot，后者已經(jīng)成為全球威脅，感染了數(shù)百萬臺計算機，并用于傳播勒索軟件。

　　弗吉尼亞州的一家法院授權微軟接管了Trickbot大量互聯(lián)網(wǎng)服務器的控制權，指控的理由聽起來很新穎：Trickbot濫用了微軟的商標，觸犯了商標法。

　　包含Trickbot惡意軟件的釣魚郵件樣本（偽裝成國稅總局發(fā)給納稅人的信）

　　微軟客戶安全與信任副總裁湯姆·伯特（Tom Burt）在昨天發(fā)布的博客中宣布行動捷報：

　　我們通過獲得的法院命令以及與全球電信提供商合作的技術行動破壞了Trickbot。微軟現(xiàn)在已經(jīng)切斷了Trickbot的關鍵基礎設施，Trickbot僵尸網(wǎng)絡的運營者將無法再發(fā)起新的感染攻擊或激活已經(jīng)植入計算機系統(tǒng)的勒索軟件。

　　值得注意的是，在微軟的“商標行動”之前數(shù)日，美國軍方“網(wǎng)絡司令部”也針對Trickbot發(fā)起了一波攻擊，向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令，讓這些設備與Trickbot主控服務器斷開連接。美軍網(wǎng)絡司令部對Trickbot的攻擊持續(xù)了大約十天，期間還將數(shù)百萬條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫中，以迷惑僵尸網(wǎng)絡的運營者。

　　微軟在法律訴訟文件中指控Trickbot“通過損害微軟的聲譽、品牌和客戶信譽對微軟造成不可挽回的傷害。被告人（Trickbot）實際上會更改和破壞Microsoft產(chǎn)品，例如Microsoft Windows產(chǎn)品。一旦被Trickbot感染、更改和控制，Windows操作系統(tǒng)將停止正常運行，并成為被告進行盜竊的工具?！?/p>

　　微軟于10月6日向美國弗吉尼亞東區(qū)地方法院提起民事訴訟，起訴書部分原文如下：

　　但是，它們（被Trickbot感染更改或控制的Windows系統(tǒng)）仍然帶有Microsoft和Windows商標。顯然，此舉試圖并且確實誤導了微軟的客戶，對微軟的品牌和商標造成了極大的損害。

　　受這些惡意應用程序的負面影響的用戶錯誤地認為Microsoft和Windows是其計算設備問題的根源。用戶很有可能將這個問題歸因于Microsoft，并將這些問題與Microsoft的Windows產(chǎn)品相關聯(lián)，從而沖淡并損害了Microsoft和Windows商標和品牌的價值。

　　微軟表示將利用接管的Trickbot服務器來識別并協(xié)助受Trickbot惡意軟件影響的Windows用戶清除其系統(tǒng)中的惡意軟件。

　　Trickbot是目前最強大的僵尸網(wǎng)絡之一，已被用來從數(shù)百萬臺受感染的計算機中竊取密碼，據(jù)報道，Trickbot劫持了超過2.5億個電子郵件賬戶，并不斷將新的惡意軟件副本從該電子郵件賬戶發(fā)送給受害者的聯(lián)系人。

　　Trickbot僵尸網(wǎng)絡提供的“惡意軟件即服務”功能使其成為部署各種勒索軟件，鎖定公司網(wǎng)絡上受感染系統(tǒng)的可靠工具，除非受害公司同意支付勒索費用。

　　在過去的一年中，高度依賴Trickbot作為投放渠道的勒索軟件“Ryuk”（Conti）已經(jīng)攻擊了無數(shù)組織（包括醫(yī)療保健提供者、醫(yī)學研究中心和醫(yī)院）并招致巨大損失。

　　Ryuk最近的受害者是Universal Health Services（UHS），這是一家《財富》 500強醫(yī)院和醫(yī)療服務提供商，在美國和英國經(jīng)營著400多個設施。

　　9月27日，UHS關閉了美國醫(yī)療機構的計算機系統(tǒng)，以阻止該惡意軟件的傳播。攻擊導致一些受影響的醫(yī)院被迫將救護車重定向，將需要手術的患者轉移到附近的其他醫(yī)院。

　　微軟表示，它并不認為自己的行動會永久性地破壞Trickbot，并指出該僵尸網(wǎng)絡背后的犯罪團伙可能會努力恢復其運營。但是到目前為止，尚不清楚微軟是否成功接管了所有的Trickbot控制服務器，也不清楚針對這些服務器的聯(lián)合執(zhí)法行動的具體時間。

　　正如微軟在其法律文件中指出的那樣，用作Trickbot控制器的IP地址集是動態(tài)的，這使得徹底關閉該僵尸網(wǎng)絡的嘗試更具挑戰(zhàn)性。

　　截至發(fā)稿，安全牛查閱長期跟蹤Trickbot僵尸網(wǎng)絡互聯(lián)網(wǎng)服務器的瑞士安全站點Feodo Tracker發(fā)布的實時信息，目前依然有六個Trickbot控制服務器在線（全部都是最新出現(xiàn)的服務器）（下圖）。

　　當前在線的Trickbot控制服務器