国家计算机病毒应急处理中心通过对互联网的监测,发现恶意软件“Trickbot”增添新的功能,可使攻击者与受感染主机的UEFI或BIOS固件进行交互。 据报道,网络安全公司Advanced Intelligence和 Eclypsium联合发布报告称,Trickbot新功能由新模块提供,最早于今年10月底被发现,目前新模块仅会检查BIOS写保护是否已启用,还未针对固件实施相关操作,但Trickbot新变种已包含读取、写入和擦除固件的代码,可破坏受感染系统或通过破坏系统的启动能力来防止安全人员获取攻击证据。Eclypsium公司表示RWEverything是一款强大的工具,攻击者可使用该工具将恶意代码写入系统固件,从而确保恶意代码于操作系统启动前执行,同时还可将代码隐藏在系统驱动器之外,有效增强其隐蔽性。据ZDNet报道,Trickbot在过去几周内做出了一系列更新,包括新的混淆技术、新的网络服务器以及新的垃圾邮件活动等,这些更新旨在支持其僵尸网络的运营,由此可见Trickbot似乎并未因微软等公司实施的打击活动而停止活跃。 综上,Trickbot运营者仍试图重建该僵尸网络,并为其新增了更强大更具破坏性的功能,对我国用户形成潜在威胁。针对此类攻击活动的特点,建议我国重要单位、重要信息系统和关键信息基础设施做好网络安全防护措施,确保安装安全防护产品,并将病毒库更新至最新版本,同时定期对重要文件进行非本地备份。
|