本篇內(nèi)容介紹了“美國(guó)CIA網(wǎng)絡(luò)武器庫新增被動(dòng)流量監(jiān)聽器”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

10年積累的成都做網(wǎng)站、成都網(wǎng)站制作經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有石嘴山免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

2021年4月27日，卡巴斯基發(fā)布了2021年第一季度APT活動(dòng)總結(jié)，里面提到了一個(gè)新的Lambert家族木馬。（未了解詳情可點(diǎn)擊查閱 美國(guó)CIA網(wǎng)絡(luò)武器庫再更新：目標(biāo)不同國(guó)家進(jìn)行定制化投放）

卡巴斯基表示，在2019年2月，多家反病毒公司收到了一系列惡意軟件樣本，其中大多數(shù)與各種已知的APT組織相關(guān)。而一些樣本不能與任何已知活動(dòng)相關(guān)聯(lián)，并且樣本使用的技術(shù)非常先進(jìn)。

該樣本是在2014年編譯，因此有可能在2014年和2015年末部署在目標(biāo)設(shè)備上?？ò退够硎緵]有發(fā)現(xiàn)樣本與任何其他已知惡意軟件的存在相同的代碼，但樣本的編碼模式，風(fēng)格和使用的技術(shù)卻能夠在各個(gè)Lambert木馬家族中看到。

卡巴斯基會(huì)將Lambert各個(gè)木馬家族以顏色來命名。因此，卡巴斯基將此惡意軟件命名為Purple Lambert。

Purple Lambert由幾個(gè)模塊組成，其網(wǎng)絡(luò)模塊會(huì)被動(dòng)監(jiān)聽流量，當(dāng)監(jiān)聽到特定流量（Magic Packet）時(shí)會(huì)被喚醒，木馬才會(huì)脫離潛伏狀態(tài)，從而執(zhí)行其他惡意行為。

木馬可以為攻擊者提供有關(guān)受感染系統(tǒng)的基本信息，并執(zhí)行接收攻擊者發(fā)送的惡意Payload，從而進(jìn)行下一步的攻擊行動(dòng)。

卡巴斯基認(rèn)為，該木馬的功能與另一個(gè)在用戶模式進(jìn)行被動(dòng)監(jiān)聽Gray Lambert很相似。

事實(shí)證明，Gray Lambert在多次攻擊中都替代了在內(nèi)核模式進(jìn)行被動(dòng)監(jiān)聽的White Lambert木馬。最后，Purple Lambert實(shí)現(xiàn)的功能（監(jiān)聽流量）類似于Gray Lambert和White Lambert，但實(shí)現(xiàn)的方式不同。

關(guān)于Gray Lambert，黑鳥通過查閱發(fā)現(xiàn)，該木馬會(huì)以服務(wù)的形式啟動(dòng)，在進(jìn)行了一系列持久化操作后，會(huì)正式開始進(jìn)行被動(dòng)監(jiān)聽流量操作，其會(huì)先從資源中釋放加載一個(gè)網(wǎng)絡(luò)流量監(jiān)控和過濾模塊，并嘗試通過驅(qū)動(dòng)獲取過濾的流量。

主要會(huì)從System\\CurrentControlSet\\Services\\Null注冊(cè)表項(xiàng)獲取Description值，其中存儲(chǔ)的是驅(qū)動(dòng)注冊(cè)的文件名，以此來實(shí)現(xiàn)和驅(qū)動(dòng)的通信。若不存在對(duì)應(yīng)驅(qū)動(dòng)，那么其采用Windows的ETW機(jī)制來實(shí)現(xiàn)網(wǎng)絡(luò)流量的過濾。

(ETW(Event trace for Windows)是微軟提供的追蹤和記錄由應(yīng)用程序和內(nèi)核驅(qū)動(dòng)事件的機(jī)制。)

關(guān)于White Lambert，該木馬在執(zhí)行一系列操作后，最終會(huì)加載一個(gè)惡意驅(qū)動(dòng)程序，該驅(qū)動(dòng)是一個(gè)通過NDIS流量過濾的Rookit，木馬會(huì)通過NDIS注冊(cè)一個(gè)自定義的協(xié)議，并通過該協(xié)議過濾對(duì)應(yīng)網(wǎng)卡中的流量數(shù)據(jù)，并實(shí)現(xiàn)具體的功能（遠(yuǎn)程控制命令）。

（NDIS網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范 （Network Driver Interface Specification）

“美國(guó)CIA網(wǎng)絡(luò)武器庫新增被動(dòng)流量監(jiān)聽器”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！