社区编辑申请
注册/登录
美国CIA网络武器库新增被动流量监听器
安全
2021年4月27日,卡巴斯基发布了2021年第一季度APT活动总结,里面提到了一个新的Lambert家族木马。

2021年4月27日,卡巴斯基发布了2021年第一季度APT活动总结,里面提到了一个新的Lambert家族木马。

卡巴斯基表示,在2019年2月,多家反病毒公司收到了一系列恶意软件样本,其中大多数与各种已知的APT组织相关。而一些样本不能与任何已知活动相关联,并且样本使用的技术非常先进。

该样本是在2014年编译,因此有可能在2014年和2015年末部署在目标设备上。卡巴斯基表示没有发现样本与任何其他已知恶意软件的存在相同的代码,但样本的编码模式,风格和使用的技术却能够在各个Lambert木马家族中看到。

卡巴斯基会将Lambert各个木马家族以颜色来命名。因此,卡巴斯基将此恶意软件命名为Purple Lambert。

Purple Lambert由几个模块组成,其网络模块会被动监听流量,当监听到特定流量(Magic Packet)时会被唤醒,木马才会脱离潜伏状态,从而执行其他恶意行为。

木马可以为攻击者提供有关受感染系统的基本信息,并执行接收攻击者发送的恶意Payload,从而进行下一步的攻击行动。

卡巴斯基认为,该木马的功能与另一个在用户模式进行被动监听Gray Lambert很相似。

事实证明,Gray Lambert在多次攻击中都替代了在内核模式进行被动监听的White Lambert木马。最后,Purple Lambert实现的功能(监听流量)类似于Gray Lambert和White Lambert,但实现的方式不同。

关于Gray Lambert,黑鸟通过查阅发现,该木马会以服务的形式启动,在进行了一系列持久化操作后,会正式开始进行被动监听流量操作,其会先从资源中释放加载一个网络流量监控和过滤模块,并尝试通过驱动获取过滤的流量。

主要会从System\\CurrentControlSet\\Services\\Null注册表项获取Description值,其中存储的是驱动注册的文件名,以此来实现和驱动的通信。若不存在对应驱动,那么其采用Windows的ETW机制来实现网络流量的过滤。

(ETW(Event trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。)

关于White Lambert,该木马在执行一系列操作后,最终会加载一个恶意驱动程序,该驱动是一个通过NDIS流量过滤的Rookit,木马会通过NDIS注册一个自定义的协议,并通过该协议过滤对应网卡中的流量数据,并实现具体的功能(远程控制命令)。

(NDIS网络驱动程序接口规范 (Network Driver Interface Specification)。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-12 06:48:34

2022-06-20 22:37:25

Linux操作系统命令

2022-06-09 18:04:46

网络攻击网络安全

2022-05-24 16:58:31

DDoS安全黑客

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-15 08:25:07

Python天气数据可视化分析

2022-06-06 14:32:36

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-05-11 12:12:32

ScapyPython网络包

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-28 09:34:24

可视化Python代码

2022-06-28 09:26:25

Python配置文件

2022-06-16 07:32:38

VSCodePython插件

2022-06-24 10:16:59

Python精选库

2022-06-09 10:12:01

网络安全人工智能威胁监测

2022-06-13 06:33:04

浏览器浏览器插件

2022-06-25 21:22:30

编程Rust代码

2022-05-19 14:14:26

go语言限流算法

2022-06-06 11:21:22

网络安全工具禁令

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号