美国CIA网络武器库研发被动流量监听器

木马可以为攻击者提供有关受感染系统的基本信息，并执行接收攻击者发送的恶意Payload，从而进行下一步的攻击行动。

卡巴斯基认为，该木马的功能与另一个在用户模式进行被动监听Gray Lambert很相似。

事实证明，Gray Lambert在多次攻击中都替代了在内核模式进行被动监听的White Lambert木马。最后，Purple Lambert实现的功能(监听流量)类似于Gray Lambert和White Lambert，但实现的方式不同。

关于Gray Lambert，黑鸟通过查阅发现，该木马会以服务的形式启动，在进行了一系列持久化操作后，会正式开始进行被动监听流量操作，其会先从资源中释放加载一个网络流量监控和过滤模块，并尝试通过驱动获取过滤的流量。

主要会从System\\CurrentControlSet\\Services\\Null注册表项获取Description值，其中存储的是驱动注册的文件名，以此来实现和驱动的通信。若不存在对应驱动，那么其采用Windows的ETW机制来实现网络流量的过滤。

(ETW(Event trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。)

关于White Lambert，该木马在执行一系列操作后，最终会加载一个恶意驱动程序，该驱动是一个通过NDIS流量过滤的Rookit，木马会通过NDIS注册一个自定义的协议，并通过该协议过滤对应网卡中的流量数据，并实现具体的功能(远程控制命令)。

（编辑：ASP站长网）