曾在美國國安局(NSA)任職,之後擔任Jamf首席安全研究人員的Patrick Wardle,在上周於舊金山舉行的RSA安全會議上,說明如何將利用國家資源開發的macOS惡意程式納為己用。圖片來源:<Repurposed Malware: A Dark Side of Recycling>,Patrick Wardle,https://published-prd.lanyonevents.com/published/rsaus20/sessionsFiles/17809/2020_USA20_HT-T11_01_Repurposed-Malware-A-Dark-Side-of-Recycling.pdf

曾在美國國安局(NSA)任職,之後擔任Jamf首席安全研究人員的Patrick Wardle,在上周於舊金山舉行的RSA安全會議上,說明如何將利用國家資源開發的macOS惡意程式納為己用,只要花費少少的力氣,就能使用專家所打造的惡意程式。

Wardle借用並改編了藝術家畢卡索的名言:「好的駭客(藝術家)抄襲,偉大的駭客(藝術家)剽竊」來闡明他的立場。他認為,與其問說為什麼要剽竊他人打造的惡意程式,不如問說「為何不?」(Why Not?)

美國中情局、國安局與其它14家美國的情報組織在2018年的總經費為594億美元,而美國軍方的情報經費則是221億美元,在這麼多的預算下,它們所打造的macOS惡意程式不但具備豐富的功能,還經過完整的測試,不只是美國情報單位,擁有更多預算的APT及網路駭客集團,也都有能力撰寫出更好的惡意程式。

事實上,由吹哨者Edward Snowden公布的NSA文件顯示,NSA持續監控諸如卡巴斯基等外國資安業者的流量,也攔截重要文件,包括由研究人員針對防毒軟體漏洞所撰寫的惡意程式,NSA即指示有關部門可重新利用這些惡意程式,同時以它們來檢查資安業者的防毒軟體,是否還存在相關漏洞。

此外,在NSA的工具外流之後,中國的情報機關也利用這些工具,來攻擊美國的盟友。

因此,Wardle指出,政府機關能做這樣的事,那駭客也可以。即使缺乏惡意程式的原始碼,但從惡意程式的行為,可以找到所有有關的邏輯,進而理解命令暨控制(C&C)伺服器的協定,繼之拼湊它們,再建立自己的C&C伺服器,然後避免遭到防毒軟體的偵測,就能將這些由專家打造的惡意程式納為己用。

經過初步的改造之後,惡意程式就會將情報回傳給Wardle所建立的C&C伺服器,等於接管了惡意程式的控制權,並可加載自己需要的惡意功能,節省從頭開發強大惡意程式的時間與成本。

它還可能有兩個額外的好處,一是入侵已被另一方駭客嚴密控管的環境,二是當受害者逮到惡意程式時,追蹤到的也許是原始駭客,而非Wardle。

由於Jamf主要開發蘋果平台的企業管理軟體,也使得Wardle的研究只著重於macOS平台。


Advertisement

更多 iThome相關內容