2021年4月27日,卡巴斯基公布了2021年第一季度APT活动总结,里边提及了一个新的Lambert大家族木马。
卡巴斯基表明,在2019年2月,好几家防病毒软件企业收到了一系列恶意程序样本,在其中大部分与各种各样已经知道的APT机构有关。而一些样本不可以与一切已经知道主题活动密切相关,而且样本应用的技术性十分优秀。
该样本是在2014年编译程序,因而有可能在2014年和2015年末布署在总体目标机器设备上。卡巴斯基表明沒有发觉样本与一切别的已经知道恶意程序的存有同样的编码,但样本的编号方式,设计风格和采用的技术性却可以在每个Lambert木马大家族中见到。
卡巴斯基会将Lambert每个木马大家族以色彩来取名。因而,卡巴斯基将此恶意程序取名为Purple Lambert。
Purple Lambert由好多个控制模块构成,其网络模块会处于被动监听流量,当监听到特殊流量(Magic Packet)的时候会被唤起,木马才会摆脱埋伏情况,进而实行别的虚假个人行为。
木马可以为网络攻击给予相关受感柒系统软件的基本信息,并实行接受网络攻击推送的故意Payload,进而开展下一步的进攻行为。
卡巴斯基觉得,该木马的基本功能与另一个在客户方式开展处于被动监听Gray Lambert很类似。
事实上,Gray Lambert在多次进攻里都取代了在核心方式开展处于被动监听的White Lambert木马。最终,Purple Lambert完成的作用(监听流量)类似Gray Lambert和White Lambert,但完成的方法不一样。
有关Gray Lambert,黑鸟根据查看发觉,该木马会以业务的方式运行,在完成了一系列分布式锁实际操作后,会正式开始开展处于被动监听流量实际操作,其会先从資源中释放出来载入一个互联网流量监管和过虑控制模块,并试着根据驱动获得过虑的流量。
关键会从System\\CurrentControlSet\\Services\\Null注册表项获得Description值,在其中储存的是驱动申请注册的文件夹名称,为此来建立和驱动的通讯。若不会有相匹配驱动,那麼其选用Windows的ETW体制来完成互联网流量的过虑。
(ETW(Event trace for Windows)是微软公司给予的关注和纪录由应用软件和核心驱动事情的体制。)
有关White Lambert,该木马在实行一系列实际操作后,最后会载入一个故意驱动程序流程,该驱动是一个根据NDIS流量过虑的Rookit,木马会根据NDIS申请注册一个定制的协议书,并根据该协议书过虑相匹配网口中的流量数据信息,并完成实际的作用(远程操作指令)。
(NDIS互联网驱动程序接口标准 (Network Driver Interface Specification)。