卡巴斯基不单只是防病毒软件,还可以逆向侦测机密文件!

前NSA黑客,展示了如何翻转卡巴斯基实验室的防病毒软件,并将其变成一个强大的搜寻机密文件的工具。

在卡巴斯基的这个案例中将展示安全软件可以被情报机构利用变成强大的间谍工具。

Digita Security首席研究官Patrick Wardle和前NSA黑客透过翻转卡巴斯基实验室防病毒软件并展示将其变成强大的机密文件搜寻工具。

Patrick Wardle在接受纽约时报采访时表示:『在与恶意代码的对抗中,防病毒软件是主流。讽刺的是,这些产品与他们试图检测的先进网络间谍收集植体有许多共同之处。』

Wardle先生补充:『我想知道这是否是一个可行的攻击机制,我不想卷入复杂的指控。但从技术角度来看,如果一个防病毒软件制造商想要、被强迫、被黑客攻击或者被翻转,它能否建立一个标记机密文件的特征?』

去年12月,美国总统Donald Trump签署了一项禁止在联邦机构使用卡巴斯基实验室产品和服务的法案。

根据Edward J. Snowden泄漏的绝密报告草案,国家安全局至少自2008年起就锁定了防病毒软件(即Checkpoint和Avast)以便于收集储存在目标机器中的敏感信息。

Wardle对卡巴斯基实验室防病毒软件进行了逆向工程,以探索是否有可能将其用于情报目的。其目标是希望能够撰写一个能够检测机密文件的特征。

Wardle先生发现程序代码非常复杂,与传统防病毒软件不同的是,卡巴斯基的恶意软件特征很容易更新。研究人员认为这个功能可以调整自动扫瞄受害者的机器并窃取机密文件。

Wardle:『现代的防病毒软件产品是非常复杂的软件,卡巴斯基可能是最复杂的一个。因此,光是获得对其特征和扫描逻辑的合理理解是一项具有挑战性的任务。卡巴斯基的防毒引擎会定期检查并自动安装任何新的特征。当新的特征可用时,该特征将被卡巴斯基更新服务器的kav处理程序下载。』

Wardle发现防病毒软件扫描可能被用于网络间谍活动

专家指出,官员经常对最高机密文件进行『TS/SCI(最高机密/敏感分区信息)』的分类(这是一个便于管理及搜索的习惯,但不利于安全。就像是你将自己的密码文件存在计算机时,文件名却命名为password),然后在卡巴斯基防病毒程序中加入一条规则,以标记任何包含『TS/SCI』的标记。

为了测试新规则,研究人员在他的计算机上编辑了一个文件,其中包含小熊维尼儿童读物系列的文件,并加上了『TS/SCI』标记。

一旦小熊维尼文件被存到他的机器上,卡巴斯基防病毒软件就会对文件进行标记和隔离。

Wardle测试的后续阶段是发现如何管理被标记的文件,但防病毒软件将数据发送回公司进行进一步分析是正常的。

卡巴斯基实验室解释,Wardle的研究是不正确的,因为公司没办法以秘密的方式向一个用户提供特定的特征或更新。(卡巴斯基的说法正确!但万一更新主机遭入侵或DNS遭劫持,则此风险有机会曝露)

卡巴斯基的回应:『卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的特征或更新,因为所有特征总是公开给所有的使用者使用;更新是经过数字签名的,进一步伪造更新不太可能』

无论如何,Wardle的研究表明,黑客厂商的平台可以使用防病毒软件作为搜寻工具(当防毒公司为恶或防病毒软件弱点遭到利用时,或前述的更新主机问题)。

专家总结:『然而,任何防毒公司内部的恶意或有目的性的内部人员,如果能够策略性地部署这样的特征,可能仍然不会被发现。当然,在一个假设的情况下,任何被强迫或愿意与更大实体(如政府)合作的防毒公司都同样能够悄悄地利用他们的产品来侦测和利用任何感兴趣的文件。』

『有时,什么是善与恶之间的界线,只在于一线之隔』

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180105G0C4HP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券