Люди вне Microsoft согласились с тем, что удаление, похоже, приносит результаты. Маркус Хатчинс, исследователь, внимательно следящий за ботнетами, сказал, что у Trickbot есть два класса серверов. Командные серверы обновляют конфигурации и отправляют команды, в то время как серверы плагинов загружают модульные инструменты, используемые для таких вещей, как банковское мошенничество, заражение новых компьютеров или рассылка спама.
По словам Хатчинса, даже один командный сервер может быстро сообщить всем зараженным компьютерам, где искать новые управляющие серверы, поэтому их частичное уничтожение не представляет большой опасности. Фактически, за несколько часов до публикации этого сообщения операторы ботнета смогли добавить 13 новых командных серверов.
Также я просто посмотрел, и они выдвинули новый список серверов со 100% рабочими серверами.
– MalwareTech (@MalwareTechBlog) 20 октября 2020 г.
Что еще более оптимистично для участников разборки, так это то, что по какой-то причине ни один из серверов плагинов не заменяется.
«Без серверов плагинов бот – это просто загрузчик, которому нечего загружать», – сказал мне Хатчинс. «По сути, ботнет пока не работает. Пока у них есть работающие C2, они могут его оживить. Но в настоящее время они этого не сделали ».
«Я еще не умер»
Хатчинс сказал, что победа отнюдь не полная. Во-первых, возможно, серверы плагинов все еще могут быть восстановлены. Во-вторых, во время публикации этой статьи операторы Trickbot активно развертывали программы-вымогатели, используя так называемый BazarLoader.
О победе пока рано заявлять. Непонятно, почему именно серверы плагинов не заменяются. Если серверы плагинов вернутся, обычные вредоносные уловки Trickbot, скорее всего, вернутся.
«Он определенно не мертв, – сказал Хатчинс, – просто выведен из строя».
