【安全资讯】美国NSA验证器木马植入过程分析

“验证器”（Validator）木马是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配后门恶意程序。研究人员通过私有化引擎关联本地收集到到的互联网公开样本数据，获取到三枚相关样本，样本包裹体利用autorun.exe执行，主要负责利用内核漏洞提权以及加载“验证器”木马。7月22日，研究人员发布报告，介绍了对植入加载过程的分析。

• 过程一：创建名称为“prkMtx”的互斥体，创建隐藏窗口，利用漏洞本地提权。
• 过程二：创建名称为"gmw2896"互斥体，检测被植入计算机，下述安装的软件，获取操作系统目录wininet.dll的修改时间，并在system32目录下创建ee.dll，将修改时间修改为获取到的wininet.dll时间，并设置文件为归档，加载dll。
• 过程三：ee.dll使用API转发机制对com组件进行劫持，被过程2加载后在dllmain代码中将自身拷贝为actxprxy32.dll后并删除ee.dll，使用枚举进程映像模块与遍历进程两种方式遍历No与Bx开头的5个进程，安装com组件，植入explorer.exe与svchost.exe进程工作。