僵尸网络Trickbot纳入网络探测模组，企图掌握受害电脑所在网络环境样貌

水能载舟亦能覆舟，在企业拥抱开源软件的同时，骇客也拿来进行攻击工具的开发。最近2年屡遭勒索软件骇客滥用的僵尸网络Trickbot，资安公司Kryptos Logic发现骇客在恶意软件里加入名为Masrv的网络探测模组，企图在感染Windows电脑后，进一步调查受害电脑所属的网络环境，收集有关资讯。该公司提供了入侵指标（IoC）与YARA特征码，让网管人员能够防范Trickbot的情搜行为。

Masrv模组是网络扫描工具，骇客从开放源代码的Masscan改造而成，这是。一旦Trickbot被植入电脑后，该模组就会依据Windows操作系统的版本，来执行32位元或64位元的DLL档案。骇客Trickbot纳入这个模组的意图为何？Kryptos Logic认为，他们很可能是在测试能否借由这种工具，来增加扩散该恶意软件的速度。

Kryptos Logic同时揭露Masrv的运作原理，以及当中的会执行的指令等细节。该公司也在Masrv的程式码里，发现与Anchor的C&C中继站通讯的功能，以及写死的IP地址清单，而这些IP地址与Trickbot变种恶意软件Anchor和Bazar有关。

Trickbot再度复活，恶意软件的威胁更底层、范围更大

去年10月初，Trickbot才被微软与全球多家资安厂商及电信业者联手，切断其C&C中继站的IP地址，但传出不久之后背后的经营者就继续营运，并且出现会滥用UEFI漏洞的模组Trickboot，使得Trickbot控制受害电脑的能力更强大。

由于大型僵尸网络Emotet日前才刚遭到封锁，很可能导致许多勒索软件骇客组织更加倚赖Trickbot来入侵受害电脑，而使得这个僵尸网络影响更加深远。