前NSA黑客逆向卡巴斯基殺軟，創建簽名檢測機密文件

卡巴斯基案例表明，安全軟體可以被情報機構利用，變身為強大的間諜工具。前NSA黑客、Digita Security首席研究官Patrick Wardle，展示了如何攻陷卡巴斯基殺毒軟體使其變成強大的機密文檔搜索工具。

在與惡意代碼的對抗中，殺毒產品是關鍵，但具有諷刺意味的是，這些產品與他們試圖檢測的先進網路間諜工具有許多共同之處。我想知道這是否是一個可行的攻擊機制，我不想陷入指責的泥潭，但從技術角度看，如果一個反病毒廠商主動或被迫，亦或被黑客攻擊或以某種方式被攻陷，是否可以創建一個標記機密文件的簽名？

去年12月，美國總統唐納德·特朗普簽署了一項禁止在聯邦機構使用卡巴斯基實驗室產品和服務的法案。根據愛德華·斯諾登（Edward J. Snowden）泄露的絕密報告草案，至少從2008年起，NSA就針對反病毒軟體（Checkpoint和Avast）收集存儲在目標機器中的敏感信息。

Wardle對卡巴斯基實驗室反病毒軟體進行了逆向，以探索將其用於情報收集的可能性，目標是創建能夠檢測機密文件的簽名。Wardle發現代碼非常複雜，但與傳統的防病毒軟體不同，卡巴斯基中惡意軟體的簽名很容易更新。此功能可用於自動掃描受害者的機器以及竊取機密文件。「當今的反病毒產品異常複雜，卡巴斯基可能是最複雜的一個。因此，即便是獲得對其簽名和掃描邏輯模塊的正確理解，也是一項很有挑戰性的任務。」Wardle寫道。

儘管安裝程序附帶內置簽名（與任何防病毒程序一樣），但卡巴斯基反病毒引擎會定期檢查並自動安裝新簽名。當新的簽名可用時，kav進程就會從卡巴斯基更新伺服器下載。

Wardle發現殺毒軟體掃描可能會被用於網路間諜活動。他指出，官員經常對最高機密文件進行「TS / SCI」（「最高機密/敏感分區信息」）分類，在卡巴斯基反病毒程序中增加一條規則，就可以標記任何包含「TS / SCI」的文檔。

為了測試新規則，研究人員在自己的電腦上編輯了一個文件，其中包含小熊維尼兒童讀物系列的文本，並添加了「TS / SC」標記。

一旦Winnie the Pooh文檔被保存到機器上，卡巴斯基防病毒軟體就會標記並隔離文檔。測試的後續階段是探究被標記的文檔如何管理，但反病毒軟體將數據發送回公司並進行後續分析是正常的。

卡巴斯基實驗室解釋說，Wardle的研究結果不正確，因為公司不能以隱蔽方式向用戶提供特定的簽名或更新。

卡巴斯基實驗室不可能以特定的方式向特定用戶提供特定的簽名或更新，因為所有簽名都是公開給所有的用戶使用；更新是簽過名的，不可能偽造。

無論如何，Wardle的研究表明，黑客可以使用殺毒軟體作為搜索工具。

「任何反病毒公司內部惡意或有意的員工都有可能策略性地部署這樣的簽名。當然，有一個假設，任何被迫或主動與更強大機構（如政府）合作的反病毒公司都同樣能夠悄悄地利用其產品來檢測和收集任何感興趣的文件。」專家總結說。

「有時候，善與惡之間的界限，就是一個數字簽名......」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！