TrickBot 恶意软件

据网络安全基础设施和安全局（CISA）称，TrickBot 是一款恶意软件，它几乎使用了所有黑客手段，名副其实，是一种顶级威胁。TrickBot 出现于 2016 年，是一个用 C++ 编写的复杂银行木马，目标是基于 Windows 的系统。它的兴起归因于一个臭名昭著的俄罗斯网络犯罪行动者组织，该组织被称为WizardSpider，疑似与俄罗斯政府有联系。

TrickBot 已经发展成为一种模块化恶意软件架构，能够进行多种攻击，包括初始访问木马、窃取/间谍软件、远程访问木马 (RAT) 和勒索软件。TrickBot 包括一套强大的第二阶段感染后网络渗透能力，即使是防御严密的企业网络也能让它隐蔽地横向移动。

TrickBot 的功能十分强大，在针对大型企业、政府机构和医疗机构的网络攻击中，它就像一把瑞士军刀，是部署 Ryuk 和Conti勒索软件的首选指挥和控制 (C2) 恶意软件。然而，TrickBot 也被用来入侵普通消费者的家用路由器，使威胁组织得以建立全球僵尸网络。TrickBot 多种多样的复杂功能是其他恶意软件无法比拟的。

TrickBot 通常是通过第一阶段下载恶意软件传播的，这些恶意软件采用社会工程学策略，如鱼叉式网络钓鱼和 "驾车下载"（drive-by-downloads）--用流行软件的盗版拷贝诱骗受害者--以获得对系统的初始访问权。TrickBot 的第一阶段恶意软件通常会执行一个严重混淆的 JavaScript 文件，通过连接到攻击者控制的 C2 服务器、下载主要 TrickBot 有效载荷并执行它来完成感染。 

TrickBot 可感染互联网浏览器，被动监视用户活动，窃取会话 cookie、用户名和密码以及浏览历史记录。TrickBot 还内置了用于网络枚举和主机发现、权限升级、验证暴力、中间人侦察、代理、数据篡改、横向移动、持久性和勒索软件部署的工具。在运行过程中，TrickBot 会战略性地交换 C2 服务器，并缓存活跃的 C2 IP 地址，以防其中一个服务器被关闭或列入黑名单。 

TrickBot 的隐身策略包括通过 SSL/TLS 使用 HTTP 加密连接，将其 C2 活动掩盖为普通网络流量，并采用无文件恶意软件技术，仅在内存中运行（memexec），以避免被安全产品发现。为了防止安全研究人员轻易分析其源代码，TrickBot 使用了多级加密混淆技术。

要有效预防 TrickBot 网络攻击，需要一个完整的企业网络安全计划，包括全面的政策、控制、程序和用户意识培训，以涵盖企业网络安全的各个方面。以下是可减少 TrickBot 入侵机会的防御措施简表。 

• 实施现代身份和访问管理（IAM）工具
• 在所有端点上安装和配置高级端点安全产品，以检测入侵迹象 (IOC)，并采取防御措施阻止 TrickBot 有效载荷的执行
• 确保所有端点只安装经授权的数字签名软件；定期扫描并阻止任何未经授权的软件执行
• 定期对所有网络基础设施进行漏洞扫描和渗透测试；尽快修复发现的任何漏洞
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站
• 对所有关键服务实施多因素身份验证
• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 确保 Office 应用程序配置为 在无通知的情况下禁用所有宏 或 禁用除数字签名宏以外的所有宏 设置
• 特别注意电子邮件客户端和 Office 应用程序中的警告通知，它们会提醒您注意可疑的上下文，例如未经恶意软件扫描或包含 VBA 宏的文件