雖然頭號(hào)勒索軟件Ryuk已經(jīng)開始有意減少在商業(yè)木馬/僵尸網(wǎng)絡(luò)上的投放，轉(zhuǎn)而使用可以繞過安全工具的非現(xiàn)場(chǎng)工具，但是僵尸網(wǎng)絡(luò)TrickBot和Emotet依然是大多數(shù)勒索軟件的主流投放平臺(tái)，而且技術(shù)迭代速度很快，讓網(wǎng)絡(luò)安全公司們疲于奔命，束手無策。但是微軟公司最近卻另辟蹊徑，拿起法律武器“接管”了Trickbot僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。

　　據(jù)知名安全博客KrebsonSecurity報(bào)道，微軟公司近日發(fā)動(dòng)一次有組織的法律偷襲，以破壞惡意軟件即服務(wù)僵尸網(wǎng)絡(luò)Trickbot，后者已經(jīng)成為全球威脅，感染了數(shù)百萬臺(tái)計(jì)算機(jī)，并用于傳播勒索軟件。

　　弗吉尼亞州的一家法院授權(quán)微軟接管了Trickbot大量互聯(lián)網(wǎng)服務(wù)器的控制權(quán)，指控的理由聽起來很新穎：Trickbot濫用了微軟的商標(biāo)，觸犯了商標(biāo)法。

　　包含Trickbot惡意軟件的釣魚郵件樣本（偽裝成國(guó)稅總局發(fā)給納稅人的信）

　　微軟客戶安全與信任副總裁湯姆·伯特（Tom Burt）在昨天發(fā)布的博客中宣布行動(dòng)捷報(bào)：

　　我們通過獲得的法院命令以及與全球電信提供商合作的技術(shù)行動(dòng)破壞了Trickbot。微軟現(xiàn)在已經(jīng)切斷了Trickbot的關(guān)鍵基礎(chǔ)設(shè)施，Trickbot僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者將無法再發(fā)起新的感染攻擊或激活已經(jīng)植入計(jì)算機(jī)系統(tǒng)的勒索軟件。

　　值得注意的是，在微軟的“商標(biāo)行動(dòng)”之前數(shù)日，美國(guó)軍方“網(wǎng)絡(luò)司令部”也針對(duì)Trickbot發(fā)起了一波攻擊，向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令，讓這些設(shè)備與Trickbot主控服務(wù)器斷開連接。美軍網(wǎng)絡(luò)司令部對(duì)Trickbot的攻擊持續(xù)了大約十天，期間還將數(shù)百萬條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫(kù)中，以迷惑僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者。

　　微軟在法律訴訟文件中指控Trickbot“通過損害微軟的聲譽(yù)、品牌和客戶信譽(yù)對(duì)微軟造成不可挽回的傷害。被告人（Trickbot）實(shí)際上會(huì)更改和破壞Microsoft產(chǎn)品，例如Microsoft Windows產(chǎn)品。一旦被Trickbot感染、更改和控制，Windows操作系統(tǒng)將停止正常運(yùn)行，并成為被告進(jìn)行盜竊的工具?！?/p>

　　微軟于10月6日向美國(guó)弗吉尼亞東區(qū)地方法院提起民事訴訟，起訴書部分原文如下：

　　但是，它們（被Trickbot感染更改或控制的Windows系統(tǒng)）仍然帶有Microsoft和Windows商標(biāo)。顯然，此舉試圖并且確實(shí)誤導(dǎo)了微軟的客戶，對(duì)微軟的品牌和商標(biāo)造成了極大的損害。

　　受這些惡意應(yīng)用程序的負(fù)面影響的用戶錯(cuò)誤地認(rèn)為Microsoft和Windows是其計(jì)算設(shè)備問題的根源。用戶很有可能將這個(gè)問題歸因于Microsoft，并將這些問題與Microsoft的Windows產(chǎn)品相關(guān)聯(lián)，從而沖淡并損害了Microsoft和Windows商標(biāo)和品牌的價(jià)值。

　　微軟表示將利用接管的Trickbot服務(wù)器來識(shí)別并協(xié)助受Trickbot惡意軟件影響的Windows用戶清除其系統(tǒng)中的惡意軟件。

　　Trickbot是目前最強(qiáng)大的僵尸網(wǎng)絡(luò)之一，已被用來從數(shù)百萬臺(tái)受感染的計(jì)算機(jī)中竊取密碼，據(jù)報(bào)道，Trickbot劫持了超過2.5億個(gè)電子郵件賬戶，并不斷將新的惡意軟件副本從該電子郵件賬戶發(fā)送給受害者的聯(lián)系人。

　　Trickbot僵尸網(wǎng)絡(luò)提供的“惡意軟件即服務(wù)”功能使其成為部署各種勒索軟件，鎖定公司網(wǎng)絡(luò)上受感染系統(tǒng)的可靠工具，除非受害公司同意支付勒索費(fèi)用。

　　在過去的一年中，高度依賴Trickbot作為投放渠道的勒索軟件“Ryuk”（Conti）已經(jīng)攻擊了無數(shù)組織（包括醫(yī)療保健提供者、醫(yī)學(xué)研究中心和醫(yī)院）并招致巨大損失。

　　Ryuk最近的受害者是Universal Health Services（UHS），這是一家《財(cái)富》 500強(qiáng)醫(yī)院和醫(yī)療服務(wù)提供商，在美國(guó)和英國(guó)經(jīng)營(yíng)著400多個(gè)設(shè)施。

　　9月27日，UHS關(guān)閉了美國(guó)醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)，以阻止該惡意軟件的傳播。攻擊導(dǎo)致一些受影響的醫(yī)院被迫將救護(hù)車重定向，將需要手術(shù)的患者轉(zhuǎn)移到附近的其他醫(yī)院。

　　微軟表示，它并不認(rèn)為自己的行動(dòng)會(huì)永久性地破壞Trickbot，并指出該僵尸網(wǎng)絡(luò)背后的犯罪團(tuán)伙可能會(huì)努力恢復(fù)其運(yùn)營(yíng)。但是到目前為止，尚不清楚微軟是否成功接管了所有的Trickbot控制服務(wù)器，也不清楚針對(duì)這些服務(wù)器的聯(lián)合執(zhí)法行動(dòng)的具體時(shí)間。

　　正如微軟在其法律文件中指出的那樣，用作Trickbot控制器的IP地址集是動(dòng)態(tài)的，這使得徹底關(guān)閉該僵尸網(wǎng)絡(luò)的嘗試更具挑戰(zhàn)性。

　　截至發(fā)稿，安全牛查閱長(zhǎng)期跟蹤Trickbot僵尸網(wǎng)絡(luò)互聯(lián)網(wǎng)服務(wù)器的瑞士安全站點(diǎn)Feodo Tracker發(fā)布的實(shí)時(shí)信息，目前依然有六個(gè)Trickbot控制服務(wù)器在線（全部都是最新出現(xiàn)的服務(wù)器）（下圖）。

　　當(dāng)前在線的Trickbot控制服務(wù)器