前 NSA 黑客将卡巴杀软转变为机密文档搜索工具
作者:Pierluigi Paganini
翻译:360代码卫士团队
Digital Security 公司的首席安全官兼 NSA 前黑客Patrick Wardle 将卡巴斯基实验室的杀毒软件改造为专门用来搜索机密文档的强大搜索工具。这说明,安全软件可被情报部门用作强大的监控工具。
Patrick Wardle指出,在对抗恶意代码方面,杀毒软件产品是主力军。但颇具讽刺意味的是,这些产品和它们所要检测的高阶网络监控植入之间具有很多相似之处。Wardle 表示从技术角度来讲,如果杀毒软件厂商想要、或受胁迫或被黑或者通过某种方式遭破坏,那么就能创建一个签名来找到机密文档。
去年12月,美国总统特朗普签署法案禁止联邦机构使用卡巴斯基实验室产品及服务。
从斯诺登泄露的一份绝密报告草案中来看,NSA 至少从2008年开始就针对杀毒软件(如Checkpoint 和 Avast)发动攻击以收集存储在目标机器上的敏感信息。
Wardle 逆向了卡巴斯基实验室的杀毒软件探索将其用于情报目的的可能性。他的目标是构建一个能够检测机密文档的签名。
Wardle 发现卡巴斯基杀毒软件的代码要比传统的杀毒软件代码复杂得多。卡巴斯基的恶意软件签名很容易更新,这个功能可被滥用自动扫描受害者的机器并窃取敏感文档。
Wardle 指出,“现代反病毒产品是非常复杂的软件,而卡巴斯基更甚。因此,单单合理地理解其签名和扫描逻辑就是一项具有挑战性的任务。不过安装器配有内置签名,这一点是任何反病毒程序都具备的情况。卡巴斯基的反病毒引擎定期查找并自动安装新的签名。当新的签名可用时,卡巴斯基更新服务器中的 kav 守护进程就会进行下载。”
Wardle 发现杀软扫描可用于网络监控活动中。他指出,官员定期对标记为“TS/SCI(绝密/敏感分隔信息)”的绝密文档进行归类。他在卡巴斯基的反病毒程序中增加了一条规则以找到含有这些绝密标记的文档。
为了测试新规则的表现情况,Wardle 在电脑上编辑了一份包含《维尼小熊》童书系列中的文本文档,并将其标记为 “TS/SCI”。将《维尼小熊》文档保持在电脑后,卡巴斯基杀毒软件马上标记并隔离出了该文档。
Wardle 后续的测试主要是发现被标记文档是如何管理的,不过对于杀毒软件来说,将数据发回公司进行进一步分析的行为是正常的。
卡巴斯基实验室解释称,Wardle 的研究是不正确的,因为卡巴斯基实验室无法以隐秘的方式只向一个用户输出一个具体的签名或更新。所有的签名总是向所有的用户开放,而且更新是经过数字签名的,防止伪造更新。
不管怎么说,Wardle 的研究表明黑掉供应商的平台后,有可能将杀毒软件作为搜索工具。
关联阅读
卡巴斯基承认上传病毒文件的同时也上传了不相干文件:坐实窃取NSA机密的指控?!
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://securityaffairs.co/wordpress/67344/breaking-news/kaspersky-lab-antivirus-hack.html