షట్టర్‌స్టాక్ / వాటావిన్

2020 యుఎస్ ఎన్నికల సందర్భంగా, మైక్రోసాఫ్ట్ ట్రిక్‌బాట్ అనే ఫలవంతమైన బోట్‌నెట్‌పై దాడి చేసింది. వారు ముప్పును చంపగలిగారు? ఇది ఎలా జరిగిందో మేము వివరించాము.

బాట్లు మరియు బోట్‌నెట్‌లు

బోట్ అనేది రాజీ మరియు మాల్వేర్ సోకిన కంప్యూటర్. మాల్వేర్ బెదిరింపు నటుడి ప్రయోజనం కోసం కొన్ని చర్యలను చేస్తుంది. బోట్నెట్ అనేది ఏకీకృతంగా పనిచేసే బాట్ల నెట్వర్క్. బోట్‌నెట్‌లో ఎక్కువ బాట్‌లు ఉన్నాయి, దానికి ఎక్కువ కంప్యూటింగ్ శక్తి ఉంటుంది. బెదిరింపు నటుల తరపున పనిచేసే శక్తివంతమైన పంపిణీ కంప్యూటింగ్ ప్లాట్‌ఫామ్‌ను రూపొందించండి.

మైనింగ్ క్రిప్టోకరెన్సీలు, పంపిణీ నిరాకరించిన సేవా దాడులు, స్పామ్ ఫామ్‌గా పనిచేయడం, వినియోగదారు ఆధారాలను పెద్ద ఎత్తున సేకరించడం లేదా వ్యక్తులు, నెట్‌వర్క్‌లు మరియు సంస్థల గురించి రహస్యంగా సమాచారాన్ని సేకరించడం వంటి చర్యలకు బాట్‌నెట్‌లను ఉపయోగించవచ్చు.

బోట్ నెట్‌వర్క్‌ను తయారుచేసే బాట్‌ల సైన్యం కమాండ్ అండ్ కంట్రోల్ సర్వర్ ద్వారా నియంత్రించబడుతుంది, దీనిని తరచుగా C2 సర్వర్ అని పిలుస్తారు. C2 సర్వర్ బాట్ల నుండి సమాచారాన్ని అంగీకరిస్తుంది మరియు వాటిని అనుసరించడానికి ఆదేశాలను పంపడం ద్వారా ప్రతిస్పందిస్తుంది. C2 సర్వర్ మాల్వేర్ కోసం కొత్త కార్యాచరణను అందించే కొత్త హానికరమైన పేలోడ్‌లు లేదా ప్లగిన్‌లను కూడా అమలు చేయగలదు.

ట్రిక్ బోట్

ట్రిక్‌బాట్ ప్రపంచంలోనే అత్యంత అపఖ్యాతి పాలైన బోట్‌నెట్ టైటిల్‌ను పొందగలదు. ఇది 2016 లో బ్యాంకింగ్ ట్రోజన్‌గా ఉద్భవించింది, బ్యాంక్ ఖాతాలు మరియు ఇతర చెల్లింపు ప్లాట్‌ఫారమ్‌ల నుండి లాగిన్ ఆధారాలను దొంగిలించింది. అప్పటి నుండి ఇది నిరంతర అభివృద్ధిని పొందింది మరియు అధునాతన మాల్వేర్ పంపిణీ సాధనంగా అభివృద్ధి చెందింది, ఇది ఇతర సైబర్ నేరస్థులు మరియు బెదిరింపు నటుల సమూహాలచే తీసుకోబడింది.

ఇది 2016 నుండి మిలియన్ సైబర్ పరికరాలకు సోకింది, ఇది భారీ బోట్నెట్ మరియు సైబర్ క్రైమినల్స్ కోసం శక్తివంతమైన ఉత్పత్తిగా మారింది. ఇది వ్యాపారాలకు పెద్ద ముప్పుగా ఉంది, ఎందుకంటే ఇది ర్యూక్ మరియు ఇతర పెద్ద-పేరు మరియు పెద్ద-స్థాయి ransomware కార్యకలాపాల వంటి ransomware కొరకు పంపిణీ వేదికగా ఉపయోగించబడింది.

ఒక ఇమెయిల్ ఫిషింగ్ ప్రచారంలో భాగంగా ఒక ఉద్యోగి వారికి పంపిన మోసపూరిత ఇమెయిల్‌తో ప్రేమలో పడటం వలన సంక్రమణలు సంభవిస్తాయి. ఇమెయిల్‌లో హానికరమైన జోడింపు ఉంది. అటాచ్మెంట్‌ను తెరవడానికి వినియోగదారు ప్రయత్నించినప్పుడు, తరచుగా పిడిఎఫ్ లేదా వర్డ్ ఫైల్ వలె మారువేషంలో, వారు ట్రిక్‌బాట్‌ను డౌన్‌లోడ్ చేసి, ఇన్‌స్టాల్ చేస్తారు.

వాస్తవానికి, ట్రిక్‌బాట్ అంత పెద్ద రాజీ యంత్రాల నెట్‌వర్క్, ఒకే సి 2 సర్వర్ సరిపోదు. బాట్ల సంఖ్య మరియు ట్రాఫిక్ మొత్తం కారణంగా, మరియు కొంతవరకు వారు వారి మౌలిక సదుపాయాలలో కొంత రిడెండెన్సీని సృష్టించాలని కోరుకున్నారు కాబట్టి, ట్రిక్బోట్ సమూహం ప్రపంచవ్యాప్తంగా 69 సి 2 సర్వర్లను ఉపయోగించింది.

కాబట్టి ట్రిక్‌బాట్ బెదిరింపులు వారి అన్ని C2 సర్వర్‌లకు ప్రాప్యతను కోల్పోతే?

ట్రిక్‌బాట్‌పై మైక్రోసాఫ్ట్ దాడి

అక్టోబర్ 2020 లో, మైక్రోసాఫ్ట్ మరియు ఎంపిక చేసిన భాగస్వాములు మరియు హోస్టింగ్ కంపెనీలు ట్రిక్‌బాట్ యొక్క సి 2 సర్వర్‌లను గుర్తించడానికి మరియు తొలగించడానికి కలిసి పనిచేయడం ప్రారంభించాయి.

మైక్రోసాఫ్ట్ యొక్క ప్రారంభ విశ్లేషణ ట్రిక్‌బాట్ కార్యకలాపాలకు కీలకమైన 69 ప్రధాన సి 2 సర్వర్‌లను గుర్తించింది. వారు వెంటనే 62 ని నిలిపివేశారు. మిగతా ఏడు అంకితమైన ట్రిక్బోట్ సర్వర్లు కాదు, అవి అమాయక బాధితులకు చెందిన ఇంటర్నెట్ ఆఫ్ థింగ్స్ (ఐఒటి) పరికరాలకు సోకినవి.

IoT పరికరాలను ట్రిక్‌బాట్ హైజాక్ చేసింది. C2 సర్వర్‌ల వలె ప్రవర్తించకుండా ఆ పరికరాలను ఆపడానికి హోస్టింగ్ బేస్ కలిగి ఉండటానికి ఇతర C2 సర్వర్‌లను తిరస్కరించడానికి ఉపయోగించిన దానికంటే కొంచెం ఎక్కువ యుక్తి అవసరం. వారు క్రిమిసంహారక మరియు ఒక వణుకుతో ఆగిపోకుండా సాధారణ సేవకు తిరిగి రావలసి వచ్చింది.

మీరు expect హించినట్లుగా, ప్రత్యామ్నాయ సర్వర్‌లను పొందడానికి మరియు అమలు చేయడానికి ట్రిక్‌బాట్ ముఠా గిలకొట్టింది. వారు 59 కొత్త సర్వర్‌లను సృష్టించారు. వీటిని మైక్రోసాఫ్ట్ మరియు దాని మిత్రదేశాలు త్వరగా లక్ష్యంగా చేసుకున్నాయి మరియు అక్టోబర్ 18, 2020 నాటికి ఒకటి మినహా మిగిలినవి నిలిపివేయబడ్డాయి. అసలు 69 సర్వర్లతో సహా, 128 ట్రిక్బోట్ సర్వర్లలో 120 నిలిపివేయబడ్డాయి.

వారు ఎలా చేసారు

అక్టోబర్ 2020 లో, మైక్రోసాఫ్ట్ యుఎస్ కోర్టు ఉత్తర్వును పొందింది మరియు ట్రిక్ బాట్ సి 2 సర్వర్లు ఉపయోగించే ఐపి చిరునామాలను నిలిపివేయడానికి దాని భాగస్వాములను అనుమతిస్తుంది. వారు సర్వర్‌లను మరియు వారి కంటెంట్‌ను ట్రిక్‌బాట్ ఆపరేటర్లకు ప్రాప్యత చేయలేరు. ఫైనాన్షియల్ సర్వీసెస్ ఇన్ఫర్మేషన్ షేరింగ్ అండ్ ఎనాలిసిస్ సెంటర్ (ఎఫ్ఎస్-ఐసాక్), ఇసెట్, లుమెన్, ఎన్‌టిటి మరియు సిమాంటెక్‌తో సహా టెలికాం ప్రొవైడర్లు మరియు పరిశ్రమ భాగస్వాములతో మైక్రోసాఫ్ట్ ప్రపంచవ్యాప్తంగా సహకరించింది.

మైక్రోసాఫ్ట్ కొత్త ట్రిక్‌బాట్ సర్వర్‌ను గుర్తించగలదని, హోస్టింగ్ ప్రొవైడర్ ఎవరో గుర్తించగలదని, సర్వర్ దిగజారడానికి చట్టపరమైన అవసరాలను స్పష్టం చేసి, ఆపై సర్వర్‌ను తక్కువ స్థాయిలో నిలిపివేయవచ్చని మైక్రోసాఫ్ట్ యొక్క టామ్ బర్ట్ (కార్పొరేట్ వైస్ ప్రెసిడెంట్, కస్టమర్ సెక్యూరిటీ & ట్రస్ట్) చెప్పారు. మూడు గంటల కంటే. వారు ఇప్పటికే సి 2 సర్వర్‌ను మూసివేసిన భూభాగాల్లోని కేసుల కోసం, వీటిలో కొన్నింటిని వేగవంతం చేయవచ్చు ఎందుకంటే చట్టబద్ధతలు ఇప్పటికే అమలులో ఉన్నాయి లేదా ఈ ప్రక్రియ ఇప్పుడు బాగా అర్థం చేసుకోబడింది. క్రొత్త సి 2 సర్వర్‌ను నిష్క్రియం చేసిన వారి రికార్డు ఆరు నిమిషాల కన్నా తక్కువ.

సోకిన కంప్యూటర్లను శుభ్రపరచడానికి సంస్థలకు సహాయపడటానికి మైక్రోసాఫ్ట్ బృందం ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్స్ (ISP లు) మరియు నేషనల్ సైబర్ ఎమర్జెన్సీ రెస్పాన్స్ (CERT) బృందాలతో కలిసి పని చేస్తూనే ఉంది.

కాబట్టి ట్రిక్‌బాట్ చనిపోయిందా?

కాల్ చేయడానికి చాలా తొందరగా ఉంది. మాల్వేర్ వెనుక ఉన్న మౌలిక సదుపాయాలు ఖచ్చితంగా ఆరోగ్యం తక్కువగా ఉన్నాయి. కానీ ట్రిక్‌బాట్ గతంలో చాలాసార్లు తిరిగి ఆవిష్కరించింది. ఇది ఇప్పటికే కలిగి ఉండవచ్చు. ట్రిక్‌బాట్ మాల్వేర్‌కు కోడ్-స్థాయి సారూప్యతలను కలిగి ఉన్న కొత్త రకం మాల్వేర్ బ్యాక్‌డోర్ మరియు డౌన్‌లోడ్‌ను భద్రతా పరిశోధకులు కనుగొన్నారు. కొత్త మాల్వేర్ యొక్క లక్షణం, బజార్ లేదా బజార్లోడర్ గా పిలువబడుతుంది, ఇది నేరుగా ట్రిక్బోట్ ముఠా తలుపుకు దారితీస్తుంది. మైక్రోసాఫ్ట్ యొక్క దాడి ప్రారంభం కావడానికి ముందే వారు తరువాతి తరం దాడి సాధనంపై పని చేస్తున్నట్లు తెలుస్తోంది.

అంటువ్యాధులను ప్రారంభించడానికి బజార్‌లోడర్ ఇమెయిల్ ఫిషింగ్ ప్రచారాలను ఉపయోగిస్తుంది, కానీ ట్రిక్‌బాట్ యొక్క ఫిషింగ్ ఇమెయిల్‌ల మాదిరిగా కాకుండా, అవి అటాచ్‌మెంట్‌ను కలిగి ఉండవు. బదులుగా, వారికి Google డాక్స్‌లో పత్రాలను డౌన్‌లోడ్ చేయడానికి లేదా తెరవడానికి క్లెయిమ్‌లు ఉన్నాయి. వాస్తవానికి, లింకులు బాధితుడిని మోసపూరిత మరియు ఇలాంటి వెబ్‌సైట్‌లకు దారి తీస్తాయి. ఫిషింగ్ ఇమెయిళ్ళ యొక్క కంటెంట్ ఉద్యోగుల పేరోల్స్ మరియు COVID-19 వంటి వివిధ అంశాలకు సంబంధించిన బూటకపు సమాచారాన్ని కలిగి ఉంటుంది.

సి 2 సర్వర్ డొమైన్ URL లు మరియు డొమైన్ నేమ్ సిస్టమ్ (DNS) డొమైన్‌లను దాచిపెట్టడానికి బ్లాక్‌చెయిన్ గుప్తీకరణను ఉపయోగించి, ట్రిక్బోట్ కంటే బజార్ మరింత దొంగతనంగా రూపొందించబడింది. ఈ కొత్త వేరియంట్ ర్యూక్ ransomware ను పంపిణీ చేయడం ఇప్పటికే కనిపించింది, ఇది చారిత్రాత్మకంగా ట్రిక్బోట్ యొక్క ప్రసిద్ధ క్లయింట్. ట్రిక్బోట్ సమూహం ఇప్పటికే ఒకటి లేదా అంతకంటే ఎక్కువ కస్టమర్లను కొత్త ఉత్పత్తికి బదిలీ చేసి ఉండవచ్చు?

విషయాలు బజార్ పొందబోతున్నాయి

ట్రిక్‌బాట్ దాని ట్రోజన్ మూలాల నుండి అద్దె సైబర్‌క్రైమ్ కోసం విస్తరించదగిన వేదికగా పరిణామం చెందింది కాబట్టి, ట్రిక్‌బాట్‌కు కొత్త లక్షణాలను జోడించడం చాలా సులభం. బెదిరింపు రచయితలు కొత్త ప్లగ్-ఇన్‌ను వ్రాసి, C2 సర్వర్‌ల నుండి బోట్‌నెట్ యంత్రాలకు డౌన్‌లోడ్ చేసుకోండి. కొత్త ప్లగ్-ఇన్ డిసెంబర్ 2020 లో కనుగొనబడింది. పాత మాల్వేర్‌లో ఇంకా క్రొత్త ఫీచర్లు వస్తున్నట్లయితే కనీసం కొంత జీవితం ఉంటుంది.

కొత్త ప్లగ్-ఇన్ ట్రిక్‌బాట్‌ను యూనిఫైడ్ ఎక్స్‌టెన్సిబుల్ ఫర్మ్‌వేర్ ఇంటర్ఫేస్ (యుఇఎఫ్‌ఐ) బూట్‌కిట్ దాడి చేయడానికి అనుమతిస్తుంది. UEFI దాడి ట్రిక్‌బాట్‌ను సోకిన యంత్రాల నుండి తొలగించడం చాలా కష్టతరం చేస్తుంది, పూర్తి హార్డ్ డ్రైవ్ పున .స్థాపన కూడా ఉంది. కంప్యూటర్ యొక్క ఫర్మ్వేర్ను స్క్రాంబ్ చేయడం ద్వారా ఇటుకతో బెదిరింపులను ఇది అనుమతిస్తుంది.

కాబట్టి ట్రిక్‌బాట్ అదృశ్యం కావచ్చు, కానీ ట్రిక్‌బాట్ వెనుక ఉన్న సమూహం దాని కొత్త మాల్వేర్ ప్లాట్‌ఫామ్ బజార్‌ను రూపొందించడానికి సిద్ధంగా ఉంది. మైక్రోసాఫ్ట్ మరియు వారి మిత్రదేశాలు ఖచ్చితంగా ట్రిక్‌బాట్‌ను దెబ్బతీశాయి. ట్రిక్బోట్ దాదాపుగా పనిచేయలేనిదిగా ఉన్నందున, ట్రిక్బోట్ గ్రూప్ యొక్క కస్టమర్లు వారు చెల్లించిన అక్రమ సేవలను అందించడానికి వారిపై ఒత్తిడి తెస్తారు.

మరియు మీ కస్టమర్‌లు లాజరస్, ఉత్తర కొరియా-ప్రాయోజిత అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ గ్రూప్ (APT) వంటి వెలుగులను కలిగి ఉన్నప్పుడు, మీ SLA మరియు కస్టమర్ సేవ గురించి కొన్ని కఠినమైన ప్రశ్నలకు మీకు కొన్ని మంచి సమాధానాలు అవసరం. ట్రిక్బోట్ సమూహం వారి సేవలను కొన్ని సైబర్ క్రైమినల్స్కు తాత్కాలికంగా అవుట్సోర్స్ చేయడానికి, ఒక విధమైన కార్యాచరణ సామర్థ్యాన్ని ప్రయత్నించడానికి మరియు నిర్వహించడానికి దారితీసింది.

బోట్నెట్ సైన్యంలో చేరవద్దు

ట్రిక్బోట్ మరియు బజార్ ఎంత అధునాతనమైనప్పటికీ, వారు తమ బోట్నెట్ సైన్యం యొక్క ర్యాంకులను పెంచడానికి కంప్యూటర్లకు సోకగలిగితే మాత్రమే అవి ప్రభావవంతంగా ఉంటాయి. నిర్బంధాన్ని నివారించడంలో ముఖ్యమైనది ఫిషింగ్ ఇమెయిళ్ళను గుర్తించడం మరియు వాటితో ప్రేమలో పడకుండా వాటిని తొలగించడం.

సైబర్ భద్రతా అవగాహనపై శిక్షణ సిబ్బంది ఇక్కడ కీలకం. వారు ప్రతిరోజూ రోజంతా ఇమెయిల్‌లను పొందుతారు. వారు అన్ని సమయాలలో రక్షణాత్మకంగా ఆలోచించాలి. ఫిషింగ్ ఇమెయిళ్ళను గుర్తించడానికి ఈ పాయింట్లు సహాయపడతాయి.

  • సాధారణ విషయాల నుండి జాగ్రత్తగా ఉండండి. గూగుల్ డాక్స్‌కు లింక్‌లను కలిగి ఉన్న పేరోల్ విభాగం నుండి మీకు ఎప్పుడైనా ఇమెయిల్ వచ్చిందా? బహుశా కాకపోవచ్చు. ఇది వెంటనే మీ అనుమానాలను రేకెత్తిస్తుంది.
  • మీకు ఇమెయిల్ పంపబడిందా లేదా మీరు చాలా మంది గ్రహీతలలో ఒకరు? ఈ రకమైన ఇమెయిల్ విస్తృత ప్రేక్షకుల వద్దకు వెళ్లడం అర్ధమేనా?
  • హైపర్‌లింక్‌లోని వచనం ఏదైనా చెప్పగలిగేలా చేయవచ్చు, ఇది లింక్ మిమ్మల్ని నిజంగా అక్కడికి తీసుకెళుతుందనే హామీ కాదు. ఇమెయిల్ యొక్క శరీరంలోని ఏదైనా లింక్‌పై మీ మౌస్ పాయింటర్‌ను ఉంచండి. ఇ-మెయిల్ అనువర్తనంలో, లింక్ యొక్క వాస్తవ గమ్యంతో సూచన కనిపిస్తుంది. మీరు వెబ్‌మెయిల్ క్లయింట్‌ను ఉపయోగిస్తుంటే, డీక్రిప్టెడ్ లింక్ యొక్క గమ్యం ఎక్కడో ప్రదర్శించబడుతుంది, సాధారణంగా బ్రౌజర్ విండో దిగువ ఎడమ మూలలో. లింక్ లక్ష్యం అనుమానాస్పదంగా కనిపిస్తే, దానిపై క్లిక్ చేయవద్దు.
  • ఇమెయిల్‌లోని వ్యాకరణం సరైనదేనా? ఇమెయిల్‌కు సరైన స్వరం ఉందా మరియు ఆ రకమైన కమ్యూనికేషన్‌లో మీరు ఆశించే పదబంధాన్ని ఉపయోగిస్తారా? స్పెల్లింగ్ తప్పులు మరియు చెడు వ్యాకరణాన్ని హెచ్చరిక చిహ్నాలుగా పరిగణించాలి.
  • కంపెనీ లివరీ యొక్క లోగోలు, ఫుటర్లు మరియు ఇతర అంశాలు ప్రామాణికమైనవిగా కనిపిస్తాయా? లేదా అవి మరెక్కడా తీసిన తక్కువ-నాణ్యత కాపీలు లాగా ఉన్నాయా?
  • లేదు ప్రామాణికమైన పాస్‌వర్డ్‌లు, ఖాతా వివరాలు మరియు ఇతర సున్నితమైన సమాచారాన్ని సంస్థ ఎప్పటికీ అడగదు.

ఎప్పటిలాగే, నివారణ కంటే నివారణ మంచిది.

Source link