2021年4月27日，卡巴斯基發(fā)布了2021年第一季度APT活動總結，里面提到了一個新的Lambert家族木馬。

卡巴斯基表示，在2019年2月，多家反病毒公司收到了一系列惡意軟件樣本，其中大多數(shù)與各種已知的APT組織相關。而一些樣本不能與任何已知活動相關聯(lián)，并且樣本使用的技術非常先進。

該樣本是在2014年編譯，因此有可能在2014年和2015年末部署在目標設備上?？ò退够硎緵]有發(fā)現(xiàn)樣本與任何其他已知惡意軟件的存在相同的代碼，但樣本的編碼模式，風格和使用的技術卻能夠在各個Lambert木馬家族中看到。

卡巴斯基會將Lambert各個木馬家族以顏色來命名。因此，卡巴斯基將此惡意軟件命名為Purple Lambert。

[[398543]]

Purple Lambert由幾個模塊組成，其網(wǎng)絡模塊會被動監(jiān)聽流量，當監(jiān)聽到特定流量(Magic Packet)時會被喚醒，木馬才會脫離潛伏狀態(tài)，從而執(zhí)行其他惡意行為。

木馬可以為攻擊者提供有關受感染系統(tǒng)的基本信息，并執(zhí)行接收攻擊者發(fā)送的惡意Payload，從而進行下一步的攻擊行動。

卡巴斯基認為，該木馬的功能與另一個在用戶模式進行被動監(jiān)聽Gray Lambert很相似。

事實證明，Gray Lambert在多次攻擊中都替代了在內(nèi)核模式進行被動監(jiān)聽的White Lambert木馬。最后，Purple Lambert實現(xiàn)的功能(監(jiān)聽流量)類似于Gray Lambert和White Lambert，但實現(xiàn)的方式不同。

關于Gray Lambert，黑鳥通過查閱發(fā)現(xiàn)，該木馬會以服務的形式啟動，在進行了一系列持久化操作后，會正式開始進行被動監(jiān)聽流量操作，其會先從資源中釋放加載一個網(wǎng)絡流量監(jiān)控和過濾模塊，并嘗試通過驅動獲取過濾的流量。

主要會從System\\CurrentControlSet\\Services\\Null注冊表項獲取Description值，其中存儲的是驅動注冊的文件名，以此來實現(xiàn)和驅動的通信。若不存在對應驅動，那么其采用Windows的ETW機制來實現(xiàn)網(wǎng)絡流量的過濾。

(ETW(Event trace for Windows)是微軟提供的追蹤和記錄由應用程序和內(nèi)核驅動事件的機制。)

關于White Lambert，該木馬在執(zhí)行一系列操作后，最終會加載一個惡意驅動程序，該驅動是一個通過NDIS流量過濾的Rookit，木馬會通過NDIS注冊一個自定義的協(xié)議，并通過該協(xié)議過濾對應網(wǎng)卡中的流量數(shù)據(jù)，并實現(xiàn)具體的功能(遠程控制命令)。

(NDIS網(wǎng)絡驅動程序接口規(guī)范 (Network Driver Interface Specification)。