导语:前NSA黑客展示了如何逆向卡巴斯基杀毒软件,并将其变成一个强大的机密文件搜索工具。
卡巴斯基案例表明,安全软件可以被情报机构利用,变身为强大的间谍工具。前NSA黑客、Digita Security首席研究官Patrick Wardle,展示了如何攻陷卡巴斯基杀毒软件使其变成强大的机密文档搜索工具。
在与恶意代码的对抗中,杀毒产品是关键,但具有讽刺意味的是,这些产品与他们试图检测的先进网络间谍工具有许多共同之处。我想知道这是否是一个可行的攻击机制,我不想陷入指责的泥潭,但从技术角度看,如果一个反病毒厂商主动或被迫,亦或被黑客攻击或以某种方式被攻陷,是否可以创建一个标记机密文件的签名?
去年12月,美国总统唐纳德·特朗普签署了一项禁止在联邦机构使用卡巴斯基实验室产品和服务的法案。根据爱德华·斯诺登(Edward J. Snowden)泄露的绝密报告草案,至少从2008年起,NSA就针对反病毒软件(Checkpoint和Avast)收集存储在目标机器中的敏感信息。
Wardle对卡巴斯基实验室反病毒软件进行了逆向,以探索将其用于情报收集的可能性,目标是创建能够检测机密文件的签名。Wardle发现代码非常复杂,但与传统的防病毒软件不同,卡巴斯基中恶意软件的签名很容易更新。此功能可用于自动扫描受害者的机器以及窃取机密文件。“当今的反病毒产品异常复杂,卡巴斯基可能是最复杂的一个。因此,即便是获得对其签名和扫描逻辑模块的正确理解,也是一项很有挑战性的任务。”Wardle写道。
尽管安装程序附带内置签名(与任何防病毒程序一样),但卡巴斯基反病毒引擎会定期检查并自动安装新签名。当新的签名可用时,kav进程就会从卡巴斯基更新服务器下载。
Wardle发现杀毒软件扫描可能会被用于网络间谍活动。他指出,官员经常对最高机密文件进行“TS / SCI”(“最高机密/敏感分区信息”)分类,在卡巴斯基反病毒程序中增加一条规则,就可以标记任何包含“TS / SCI”的文档。
为了测试新规则,研究人员在自己的电脑上编辑了一个文件,其中包含小熊维尼儿童读物系列的文本,并添加了“TS / SC”标记。
一旦Winnie the Pooh文档被保存到机器上,卡巴斯基防病毒软件就会标记并隔离文档。测试的后续阶段是探究被标记的文档如何管理,但反病毒软件将数据发送回公司并进行后续分析是正常的。
卡巴斯基实验室解释说,Wardle的研究结果不正确,因为公司不能以隐蔽方式向用户提供特定的签名或更新。
卡巴斯基实验室不可能以特定的方式向特定用户提供特定的签名或更新,因为所有签名都是公开给所有的用户使用;更新是签过名的,不可能伪造。
无论如何,Wardle的研究表明,黑客可以使用杀毒软件作为搜索工具。
“任何反病毒公司内部恶意或有意的员工都有可能策略性地部署这样的签名。当然,有一个假设,任何被迫或主动与更强大机构(如政府)合作的反病毒公司都同样能够悄悄地利用其产品来检测和收集任何感兴趣的文件。”专家总结说。
“有时候,善与恶之间的界限,就是一个数字签名……”