TrickBot
TrickBot 是什么?
TrickBot由 WIZARD SPIDER 团伙运营的模块化银行木马和后渗透框架,曾为 Ryuk、Conti 和 Diavol 等勒索软件铺路。
TrickBot 于 2016 年作为 Dyre 的继任者出现,迅速从银行木马演变为多用途的后渗透框架。运营方为犯罪团伙 WIZARD SPIDER,提供凭据窃取、浏览器注入、Active Directory 侦察、SMB 横向移动和 SOCKS 代理等模块。它是 Ryuk、Conti 以及后来的 Diavol 勒索软件的主要加载器,并在 2018 至 2020 年间与 Emotet 感染密切相关。微软 Defender 团队与美国网络司令部于 2020 年 10 月扰乱了其基础设施;2022 年 Conti 泄露文件揭示 TrickBot 开发者与 Conti 行动之间存在深度关联。该代码库随后衍生出 Bumblebee。
● 示例
- 01
TrickBot 从被感染会计的笔记本上收集域管理员凭据,并发送给部署 Conti 的运营者。
- 02
应急响应团队在某域控的内存中,发现 TrickBot 的 pwgrab64 模块与 Ryuk 组件共存。
● 常见问题
TrickBot 是什么?
由 WIZARD SPIDER 团伙运营的模块化银行木马和后渗透框架,曾为 Ryuk、Conti 和 Diavol 等勒索软件铺路。 它属于网络安全的 恶意软件 分类。
TrickBot 是什么意思?
由 WIZARD SPIDER 团伙运营的模块化银行木马和后渗透框架,曾为 Ryuk、Conti 和 Diavol 等勒索软件铺路。
TrickBot 是如何工作的?
TrickBot 于 2016 年作为 Dyre 的继任者出现,迅速从银行木马演变为多用途的后渗透框架。运营方为犯罪团伙 WIZARD SPIDER,提供凭据窃取、浏览器注入、Active Directory 侦察、SMB 横向移动和 SOCKS 代理等模块。它是 Ryuk、Conti 以及后来的 Diavol 勒索软件的主要加载器,并在 2018 至 2020 年间与 Emotet 感染密切相关。微软 Defender 团队与美国网络司令部于 2020 年 10 月扰乱了其基础设施;2022 年 Conti 泄露文件揭示 TrickBot 开发者与 Conti 行动之间存在深度关联。该代码库随后衍生出 Bumblebee。
如何防御 TrickBot?
针对 TrickBot 的防御通常结合技术控制与运营实践,详见上方完整定义。
TrickBot 还有哪些其他名称?
常见的别称包括: WIZARD SPIDER, TrickLoader。