美國CIA網(wǎng)絡(luò)武器庫新增被動流量監(jiān)聽器
責(zé)編:gltian |2021-05-10 14:02:412021年4月27日,卡巴斯基發(fā)布了2021年第一季度APT活動總結(jié),里面提到了一個新的Lambert家族木馬。(未了解詳情可點擊查閱?美國CIA網(wǎng)絡(luò)武器庫再更新:目標不同國家進行定制化投放)
卡巴斯基表示,在2019年2月,多家反病毒公司收到了一系列惡意軟件樣本,其中大多數(shù)與各種已知的APT組織相關(guān)。而一些樣本不能與任何已知活動相關(guān)聯(lián),并且樣本使用的技術(shù)非常先進。
該樣本是在2014年編譯,因此有可能在2014年和2015年末部署在目標設(shè)備上。卡巴斯基表示沒有發(fā)現(xiàn)樣本與任何其他已知惡意軟件的存在相同的代碼,但樣本的編碼模式,風(fēng)格和使用的技術(shù)卻能夠在各個Lambert木馬家族中看到。
卡巴斯基會將Lambert各個木馬家族以顏色來命名。因此,卡巴斯基將此惡意軟件命名為Purple Lambert。
Purple Lambert由幾個模塊組成,其網(wǎng)絡(luò)模塊會被動監(jiān)聽流量,當(dāng)監(jiān)聽到特定流量(Magic Packet)時會被喚醒,木馬才會脫離潛伏狀態(tài),從而執(zhí)行其他惡意行為。
木馬可以為攻擊者提供有關(guān)受感染系統(tǒng)的基本信息,并執(zhí)行接收攻擊者發(fā)送的惡意Payload,從而進行下一步的攻擊行動。
卡巴斯基認為,該木馬的功能與另一個在用戶模式進行被動監(jiān)聽Gray Lambert很相似。
事實證明,Gray Lambert在多次攻擊中都替代了在內(nèi)核模式進行被動監(jiān)聽的White Lambert木馬。最后,Purple Lambert實現(xiàn)的功能(監(jiān)聽流量)類似于Gray Lambert和White Lambert,但實現(xiàn)的方式不同。
關(guān)于Gray Lambert,黑鳥通過查閱發(fā)現(xiàn),該木馬會以服務(wù)的形式啟動,在進行了一系列持久化操作后,會正式開始進行被動監(jiān)聽流量操作,其會先從資源中釋放加載一個網(wǎng)絡(luò)流量監(jiān)控和過濾模塊,并嘗試通過驅(qū)動獲取過濾的流量。
主要會從System\\CurrentControlSet\\Services\\Null注冊表項獲取Description值,其中存儲的是驅(qū)動注冊的文件名,以此來實現(xiàn)和驅(qū)動的通信。若不存在對應(yīng)驅(qū)動,那么其采用Windows的ETW機制來實現(xiàn)網(wǎng)絡(luò)流量的過濾。
(ETW(Event trace for Windows)是微軟提供的追蹤和記錄由應(yīng)用程序和內(nèi)核驅(qū)動事件的機制。)
關(guān)于White Lambert,該木馬在執(zhí)行一系列操作后,最終會加載一個惡意驅(qū)動程序,該驅(qū)動是一個通過NDIS流量過濾的Rookit,木馬會通過NDIS注冊一個自定義的協(xié)議,并通過該協(xié)議過濾對應(yīng)網(wǎng)卡中的流量數(shù)據(jù),并實現(xiàn)具體的功能(遠程控制命令)。
(NDIS網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范 (Network Driver Interface Specification)
參考鏈接:
https://securelist.com/apt-trends-report-q1-2021/101967/
來源:FreeBuf.COM
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!