美国国家安全局NSA的木马尖兵查看源代码讨论查看历史

根据斯诺登曝光文档描述，“验证器”（Validator）是与美国国家安全局（NSA）接入技术行动处（TAO）“酸狐狸”（FOXACID）攻击武器平台相配套的专用木马程序，它基于基本C/S架构，为NSA向敏感目标发动更为复杂的网络攻击提供轻便易用的潜伏工具。 功能简述 该木马程序的主体为DLL COM劫持器，其核心功能位于DllMain中，对特定DLL进行劫持，接受CC控制，导出控制函数转发到正常DLL中以保持受控端主机功能正常运行。近期在中国科研机构提取的“验证器”木马程序样本会被微软explorer.exe或avp.exe加载启动。该样本的更高版本，也可被一些常见的服务进程加载启动，如：svchost.exe、wuauserv（Windows更新服务）、LanmanServer（Windows共享服务）等。 重要预警 在成功提取某科研机构重要信息系统中的“验证器”（Validator）木马程序样本的基础上，开展扫描检测。令人吃惊的是，这款美国国家安全局（NSA）的标配木马的不同版本曾在不同国家上百个重要信息系统中运行，其植入时间远远早于“酸狐狸”攻击武器平台及其组件被公开曝光时间，说明NSA对至少上百个不同国家的重要信息系统实施网络攻击。时至今日，多个“验证器”木马程序仍在一些信息系统中运行，向NSA总部传送情报。可以预见的是，世界各地的重要信息基础设施中，正在运行的“验证器”木马程序数量会远远超过这个数字。