美國CIA網絡武器庫新增被動流量監聽器
責編:gltian |2021-05-10 14:02:412021年4月27日,卡巴斯基發布了2021年第一季度APT活動總結,里面提到了一個新的Lambert家族木馬。(未了解詳情可點擊查閱?美國CIA網絡武器庫再更新:目標不同國家進行定制化投放)
卡巴斯基表示,在2019年2月,多家反病毒公司收到了一系列惡意軟件樣本,其中大多數與各種已知的APT組織相關。而一些樣本不能與任何已知活動相關聯,并且樣本使用的技術非常先進。
該樣本是在2014年編譯,因此有可能在2014年和2015年末部署在目標設備上。卡巴斯基表示沒有發現樣本與任何其他已知惡意軟件的存在相同的代碼,但樣本的編碼模式,風格和使用的技術卻能夠在各個Lambert木馬家族中看到。
卡巴斯基會將Lambert各個木馬家族以顏色來命名。因此,卡巴斯基將此惡意軟件命名為Purple Lambert。
Purple Lambert由幾個模塊組成,其網絡模塊會被動監聽流量,當監聽到特定流量(Magic Packet)時會被喚醒,木馬才會脫離潛伏狀態,從而執行其他惡意行為。
木馬可以為攻擊者提供有關受感染系統的基本信息,并執行接收攻擊者發送的惡意Payload,從而進行下一步的攻擊行動。
卡巴斯基認為,該木馬的功能與另一個在用戶模式進行被動監聽Gray Lambert很相似。
事實證明,Gray Lambert在多次攻擊中都替代了在內核模式進行被動監聽的White Lambert木馬。最后,Purple Lambert實現的功能(監聽流量)類似于Gray Lambert和White Lambert,但實現的方式不同。
關于Gray Lambert,黑鳥通過查閱發現,該木馬會以服務的形式啟動,在進行了一系列持久化操作后,會正式開始進行被動監聽流量操作,其會先從資源中釋放加載一個網絡流量監控和過濾模塊,并嘗試通過驅動獲取過濾的流量。
主要會從System\\CurrentControlSet\\Services\\Null注冊表項獲取Description值,其中存儲的是驅動注冊的文件名,以此來實現和驅動的通信。若不存在對應驅動,那么其采用Windows的ETW機制來實現網絡流量的過濾。
(ETW(Event trace for Windows)是微軟提供的追蹤和記錄由應用程序和內核驅動事件的機制。)
關于White Lambert,該木馬在執行一系列操作后,最終會加載一個惡意驅動程序,該驅動是一個通過NDIS流量過濾的Rookit,木馬會通過NDIS注冊一個自定義的協議,并通過該協議過濾對應網卡中的流量數據,并實現具體的功能(遠程控制命令)。
(NDIS網絡驅動程序接口規范 (Network Driver Interface Specification)
參考鏈接:
https://securelist.com/apt-trends-report-q1-2021/101967/
來源:FreeBuf.COM