前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具

根据卡巴斯基的案例表明，安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官  Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。

Patrick Wardle 在接受纽约时报采访时说： “ 杀毒产品是对抗恶意代码的首选。“  然而，具有讽刺意味的是，这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看，如果一个反病毒制造商出于某种原因，比如被强迫、被黑客攻击等，是否可以创建一个标记机密文件的签名？

去年12月，美国总统特朗普 签署了一项法案，禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示，NSA 至少自 2008 年就瞄准了杀毒软件（即 Checkpoint 和 Avast ）以便于收集存储在目标机器上的敏感信息。

Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程，以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂，与传统的防病毒软件不同的是，卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。

“ 现代反病毒产品是非常复杂的软件，卡巴斯基可能是最复杂的一个。因此，仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时，该签名将被卡巴斯基更新服务器的kav守护进程下载。

杀毒软件扫描可能被用于网络间谍活动

Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类，Wardle  向卡巴斯基的杀毒程序添加了一条规则，用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则，研究人员在他的电脑上编辑了一个文件，其中包含小熊维尼儿童读物系列的文本，并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上，卡巴斯基的防病毒软件就会标记并隔离该文档。

Wardle 测试的后续阶段是发现如何管理被标记的文档，但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。

而卡巴斯基在一份声明中称 Wardle 的研究并不正确，因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新，所有签名总是公开给所有用户使用而且更新是经过数字签名的，不可能进一步伪造。

但无论如何，Wardle 的研究表明，黑客厂商的平台可以使用杀毒软件作为搜索工具。

专家总结说 ：“然而，任何反病毒公司内部的恶意或有意识的内部人士，如果能够策略性地部署这样的签名，那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。

详细报告内容见<All Your Docs Are Belong To Us>

消息来源：Security Affairs，编译：榆榆，校审：FOX;

本文由 HackerNews.cc 编译整理，封面来源于网络。

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

source: hackernews.cc.thanks for it.