美國國家安全局NSA的木馬尖兵檢視原始碼討論檢視歷史

根據斯諾登曝光文檔描述，「驗證器」（Validator）是與美國國家安全局（NSA）接入技術行動處（TAO）「酸狐狸」（FOXACID）攻擊武器平台相配套的專用木馬程序，它基於基本C/S架構，為NSA向敏感目標發動更為複雜的網絡攻擊提供輕便易用的潛伏工具。 功能簡述 該木馬程序的主體為DLL COM劫持器，其核心功能位於DllMain中，對特定DLL進行劫持，接受CC控制，導出控制函數轉發到正常DLL中以保持受控端主機功能正常運行。近期在中國科研機構提取的「驗證器」木馬程序樣本會被微軟explorer.exe或avp.exe加載啟動。該樣本的更高版本，也可被一些常見的服務進程加載啟動，如：svchost.exe、wuauserv（Windows更新服務）、LanmanServer（Windows共享服務）等。 重要預警 在成功提取某科研機構重要信息系統中的「驗證器」（Validator）木馬程序樣本的基礎上，開展掃描檢測。令人吃驚的是，這款美國國家安全局（NSA）的標配木馬的不同版本曾在不同國家上百個重要信息系統中運行，其植入時間遠遠早於「酸狐狸」攻擊武器平台及其組件被公開曝光時間，說明NSA對至少上百個不同國家的重要信息系統實施網絡攻擊。時至今日，多個「驗證器」木馬程序仍在一些信息系統中運行，向NSA總部傳送情報。可以預見的是，世界各地的重要信息基礎設施中，正在運行的「驗證器」木馬程序數量會遠遠超過這個數字。