content/zh-cn/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

是什么让 TrickBot 僵尸网络如此危险?除了银行木马 Emotet(后来已变得无害)和 Retefe 之外,TrickBot 也会对您的计算机构成威胁。TrickBot 和该恶意软件背后的僵尸网络给网络安全专家带来了挑战。
自 2016 年以来TrickBot 一直被网络犯罪分子用来渗透其他人的计算机,以窃取机密的私人数据。这些网络攻击的受害者不仅包括公司,也包括个人。自 2016 年被发现以来,该恶意软件的范围和功能都出现了大幅增长。重点不再仅仅是盗窃数据 - TrickBot 现在还可以更改网络流量并进一步传播。一旦该恶意软件进入系统并感染计算机,TrickBot 就会为更多恶意软件打开后门

TrickBot 特别危险和具有破坏性,因为它具有变异能力,而且现在附带了许多插件。与其他木马恶意软件类似,TrickBot 也擅长规避受害者的检测。因此,只有通过密切关注,并使用最好的安全软件,比如 Kaspersky Anti-Virus ,才能检测和消除它。

银行木马 TrickBot 如何传播

最初,TrickBot 经常通过网络钓鱼电子邮件进入系统。这涉及发送来自知名机构和公司的、假装真实的虚假邮件,这些邮件通常包含一个附件。电子邮件请求 TrickBot 攻击的受害者打开附件或链接,从而导致设备被感染。打开附件会导致下载恶意软件。也可能通过其他方式发生 TrickBot 感染,例如,通过恶意更新或通过最终设备上已有的恶意软件。一旦恶意软件进入计算机,并且能够保存用户的数据,其主要目标之一是尽可能长时间地保持隐藏。

TrickBot 攻击是怎样运作的?

在 TrickBot 攻击中,Windows 服务和 Windows Defender 或其他防病毒软件的活动将首先被终止。然后它会使用各种方法来扩展权限。由此产生的管理权限可以被更多插件使用,这些插件由恶意软件自动加载。随后,TrickBot 对系统和网络进行窥探,并收集用户的数据。恶意软件收集的信息随后被转发给外部设备,或转发给攻击背后的网络犯罪分子。

银行木马对受害者和最终设备会造成什么后果?

“Win 32/TrickBot.AK”病毒会导致在未经用户同意的情况下存储数据,并监视最终设备用户。例如,获取数据的一个可能的方法是,显示由于恶意软件而显示的虚假对话框字段。TrickBot 本身并不存储按键操作或记录屏幕截图。该木马能够连接到远程服务器,它是一组自动化恶意软件(被称为僵尸网络)的一员。TrickBot 不会影响笔记本电脑的性能,也不会导致电脑不响应命令。但是,TrickBot 可负责发起 DDoS 攻击(分布式拒绝服务)。在这种情况下,来自大量计算机的大量定向请求将导致服务出现中断。TrickBot 恶意软件的其他功能包括在受感染的计算机中下载恶意软件自我传播以及为黑客创造攻击点

检测 TrickBot 并移除银行木马

要检测 TrickBot 感染,需要保持警惕。例如,感染该恶意软件的潜在迹象可能是:未经授权尝试登录在线帐户。攻击的受害者有时可以因网络基础架构发生变化而获得提醒。感染恶意软件的一个后期致命迹象也可能是:在没有您的参与下进行的银行转账。恶意软件可以将自己伪装成一个合法的计算机进程或普通文件。这使得它几乎无法被检测到,而删除看起来可疑的文件会对计算机造成不可修复的损害。由于 TrickBot 是一个窃取数据的木马,您应尽快修复它造成的损害反恶意软件产品(比如 Kaspersky 的产品)是实现此目标的最佳方法。检测 TrickBot 感染和移除该银行木马都是非常耗时的过程。

撞库攻击和其他攻击 - TrickBot 攻击的后果

如前所述,TrickBot 的目的是窃取登录数据,并因此开展所谓的撞库攻击撞库攻击指的是网络犯罪分子用来盗用在线帐户的一种方法。最初,金融机构(特别是银行)被认为是 TrickBot 木马的主要目标。网络犯罪分子通过窃取私人凭据来未经授权访问个人帐户。例如,此帐户随后可以用来进行银行转账。除了密码和用户名之外,TrickBot 还能够获得浏览器的自动填充信息以及历史记录和存储的 Cookie。

TrickBot 攻击的典型后果

TrickBot 攻击的受害者通常必须应对一系列典型的后果。一方面,他们的帐户被网络犯罪分子接管。一旦发生这种情况,黑客通常会索要赎金,以释放帐户或文件。最后同样重要的是,勒索软件可以传播到受感染设备上的其他文件。

对抗 TrickBot:如何最好地保护自己免受攻击

  • 使用专业的防病毒软件木马扫描程序
  • 检查垃圾邮件时要小心谨慎。不要打开可疑的或看起来可疑的电子邮件或其附件。还要向员工指出,他们在任何情况下都不能同意激活宏。
  • 计算机上的软件应该始终保持最新
  • 在更新软件时保持警惕。
  • 使用官方供应商(而不是第三方供应商)提供的软件,并在下载时拒绝附加程序包。

尽管采取了无数预防措施,但总是存在着残余风险,木马仍有可能感染您的计算机。因此,不要忽视定期的数据备份

TrickBot 与其他恶意软件的组合

Emotet、TrickBot 和 Ryuk - 对您的数据来说是致命的组合

好事成三 - 尽管对于 TrickbotEmotetRyuk组合,这种说法的含义完全相反。这三个恶意软件的组合特别危险,与之相比,单个 TrickBot 攻击造成的损害看起来像是完全无害。这三个程序可以无缝协作,从而使损害最大化。Emotet 代表了侵袭的开始,它可执行木马的典型任务,为 TrickBot 和 Ryuk 打开大门,从而为犯罪分子提供入侵机会。下一步,攻击者使用 TrickBot 以获取受感染系统的信息,并以最佳方式在网络中对该木马进行自我分发。在最后一步,加密木马 Ryuk 放置在尽可能多的系统中,并根据勒索软件的操作,对硬盘进行加密。此外,发现的任何数据备份也将被删除。

TrickBot 和 IcedID:特别高效的银行木马组合

这并不是包含 TrickBot 的唯一组合TrickBotIcedID 的组合同样危险。这两个银行木马的组合对银行数据提供了更有针对性的攻击。例如,IcedID 恶意软件通过恶意垃圾邮件传输给受害者,并打开。这将启动 TrickBot 恶意软件的下载。然后,TrickBot 可以执行常见的窥探任务,并确定可以进行什么样的金融欺诈

TrickBot 和 Windows Defender

同时,TrickBot 这样的恶意软件已经找到了规避 Windows Defender 检测的方法。但是,TrickBot 的特殊之处在于,它不仅能够在运行时规避检测,甚至还能完全禁用 Windows Defender。

总结

TrickBot 对您的计算机构成威胁,因为它的核心活动是窃取凭据。但是,除此之外,它还具有易变性,且附带了众多插件,因此,您的最终设备需要尽量避免被其感染。当 TrickBot 攻击与其他恶意软件一起出现时,后果尤为致命。考虑到这一点,您必须尽快使用优秀的安全软件并采用警惕的态度,以检测出恶意软件。这可以防止为更多恶意软件打开大门。

TrickBot:具有多面性的僵尸网络

了解如何保护自己免受 TrickBot 银行木马的影响。✓ 识别 TrickBot ✓ 避免撞库攻击 ✓ 消除病毒
Kaspersky Logo