開啟主選單

求真百科

美國國家安全局NSA的木馬尖兵

根據斯諾登曝光文檔描述,「驗證器」(Validator)是與美國國家安全局(NSA)接入技術行動處(TAO)「酸狐狸」(FOXACID)攻擊武器平台相配套的專用木馬程序,它基於基本C/S架構,為NSA向敏感目標發動更為複雜的網絡攻擊提供輕便易用的潛伏工具。 功能簡述 該木馬程序的主體為DLL COM劫持器,其核心功能位於DllMain中,對特定DLL進行劫持,接受CC控制,導出控制函數轉發到正常DLL中以保持受控端主機功能正常運行。近期在中國科研機構提取的「驗證器」木馬程序樣本會被微軟explorer.exe或avp.exe加載啟動。該樣本的更高版本,也可被一些常見的服務進程加載啟動,如:svchost.exe、wuauserv(Windows更新服務)、LanmanServer(Windows共享服務)等。 重要預警 在成功提取某科研機構重要信息系統中的「驗證器」(Validator)木馬程序樣本的基礎上,開展掃描檢測。令人吃驚的是,這款美國國家安全局(NSA)的標配木馬的不同版本曾在不同國家上百個重要信息系統中運行,其植入時間遠遠早於「酸狐狸」攻擊武器平台及其組件被公開曝光時間,說明NSA對至少上百個不同國家的重要信息系統實施網絡攻擊。時至今日,多個「驗證器」木馬程序仍在一些信息系統中運行,向NSA總部傳送情報。可以預見的是,世界各地的重要信息基礎設施中,正在運行的「驗證器」木馬程序數量會遠遠超過這個數字。