卡巴斯基杀毒软件可成为强大的间谍工具,搜索机密文件

自从美国政府封杀卡巴斯基杀毒软件之后,双方也进行了多次拉锯战。前段时间卡巴斯基已经正式提起上诉,而近期前NSA黑客证实,卡巴斯基杀软可以成为一种强大的间谍工具。

详细事件发展可查看回顾:

卡巴斯基关于勒索软件的总结:2017年勒索软件的故事

http://www.freebuf.com/articles/neopoints/155731.html

前NSA黑客,演示了如何逆向卡巴斯基实验室杀毒软件,并将其转变为一个强大的机密文件搜索工具。

卡巴斯基的案例表明,安全软件可以被情报机构利用,作为一种强大的间谍工具。迪米塔安全公司首席研究官、前NSA黑客Patrick Wardle通过逆向卡巴斯基实验室反病毒软件,将其变成了一种强大的机密文件搜索工具,展示了这一点。

timg.jpg

“在与恶意代码的战斗中,杀毒软件是一种主要的产品”,Patrick Wardle告诉《纽约时报》。

“但具有讽刺意味的是,这些产品与他们试图寻找的先进的网络间谍收集设备有很多共同之处。我想知道这是不是一种可行的攻击机制,”Wardle补充说,“我不想卷入复杂的指控。”

但从技术的角度来看,如果一个杀毒软件制造商想要或者说被强制、被黑客入侵或被逆向,那么它是否能创建一个签名来标记机密文件呢?

去年12月,美国总统唐纳德•特朗普签署了一项法案,禁止在联邦机构使用卡巴斯基实验室产品和服务。根据斯诺登泄露的一份绝密报告的草稿,NSA至少从2008年起就针对反病毒软件(即Checkpoint和Avast)收集存储在目标机器中的敏感信息。

Wardle对卡巴斯基实验室杀毒软件进行了逆向工程,以探索滥用它用来获取情报的可能性。专家的目标是编写一个能够检测机密文件的签名。

top-secret-file1.jpg

Wardle发现,这段代码非常复杂,不像传统的反病毒软件,卡巴斯基的恶意软件签名很容易更新,可以对这个功能进行调整,自动扫描受害者的机器,窃取机密文件。

“现代反病毒产品是非常复杂的软件,而卡巴斯基可能是最复杂的软件之一。因此,仅仅对其签名和扫描逻辑有一个合理的理解,都是是一项具有挑战性的任务。”

“尽管安装了内置签名的安装程序,就像任何反病毒程序一样,卡巴斯基的反病毒引擎会定期检查,并自动安装新签名”,“当有新的签名时,kav守护进程会从卡巴斯基的更新服务器下载这些签名。”

Wardle发现,杀毒软件扫描功能可以用于网络间谍活动。这位专家指出,官员们会例行公事地将绝密文件标记为“TS/SCI”(绝密/敏感信息)”,然后他在卡巴斯基的反病毒程序中添加了一条规则,以标记任何包含“TS/SCI”记号的文件。

Kaspersky-antivirus.png

为了测试新规则,研究人员在他的电脑上编辑了一份文件,其中包含了小熊维尼儿童系列丛书的文本,并添加了“TS/SCI”标记。一旦小熊维尼的文件被保存到他的机器上,卡巴斯基的反病毒软件就会标记并隔离文档。

Wardle的测试的连续阶段是发现标记文档的管理方式,但杀毒软件将数据发回公司进行进一步分析是正常的。

卡巴斯基实验室解释称,Wardle的研究不能纠正,因为该公司不会以一种隐秘的方式向用户提供特定的签名或更新。卡巴斯基在一份声明中表示:“卡巴斯基实验室不可能以一种秘密的、有针对性的方式向所有用户提供一个特定的签名或更新,因为所有的签名都是面向所有用户开放的;而且更新是经过数字签名的,这进一步伪造更新并不可能。”

20170915111419474.jpg

无论如何,Wardle的研究表明,黑客可以利用杀毒软件作为搜索工具。然而,任何反病毒公司内部的恶意或自愿的内部人士,都可以在策略上部署这样的签名,很可能不会被发现。

当然,在一种假设的情况下,任何被强迫或愿意与更大的实体(比如政府部门)合作的反病毒公司,同样也可以暗地里利用他们的产品来检测和删除任何感兴趣的文件。”

专家总结道:“有时候,善与恶之间的界限,归结为一个签名标记。”

*参考来源:SecurityAffairs,FB小编Andy编译,转载请注明来自FreeBuf.COM

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。