安基网 首页 资讯 安全报 查看内容

前国安局黑客制造了四块国家创造的mac恶意软件运行他自己的代码

2020-3-3 14:25| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 保安研究员和前美国国家安全局黑客帕特里克·沃德尔展示了一种修改政府创建的mac的方法。恶意软件来运行他自己的代码而不是来自政府服务器的有效负载。恶意软件的复杂性使得它对其他攻击者有吸引力,包括其他政府…。 ArsTechnica有报道说沃德尔是在会议介绍.沃德尔在一次题为“重新利用恶意软件:回收 ...

保安研究员和前美国国家安全局黑客帕特里克·沃德尔展示了一种修改政府创建的mac的方法。恶意软件来运行他自己的代码而不是来自政府服务器的有效负载。

恶意软件的复杂性使得它对其他攻击者有吸引力,包括其他政府…。

ArsTechnica有报道说沃德尔是在会议介绍.

沃德尔在一次题为“重新利用恶意软件:回收的黑暗一面”的演讲中说:“在三封信的机构中,有一些资金充足、资源充足、动机十足的黑客团体正在创造出令人惊异的恶意软件,这些软件功能齐全,也经过了充分的测试。”

“我们的想法是:为什么不让这些机构中的这些组织制造恶意软件,如果你是黑客,那就为你自己的使命重新使用它吧?”他说。

复杂的恶意软件能够击败MacOS内置的保护。

Wardle能够对他重新使用的代码进行其他调整,这样它们就可以绕过内置到MacOS中的恶意软件缓解。例如,由于XProtection恶意软件扫描器是基于文件签名的,因此更改单个字节的重用代码就足以使其完全转义检测。当苹果发布的签名证书被撤销时,取消软件的签名并用新的证书对其进行签名是很简单的事。为了删除当用户试图执行代码或安装从互联网下载的应用程序时显示的警告,很容易删除使这些警告出现的编程标志。

这种恶意软件的工作方式是将捕获的数据上传到创建它们的政府拥有的服务器上,并从这些服务器上下载额外的恶意软件。Wardle能够破解所使用的加密,并将恶意软件指向自己的服务器。

重定向导致恶意软件向属于Wardle的命令服务器报告,而不是由开发人员指定的服务器。从那以后,Wardle完全控制了回收的恶意软件。这一壮举使他能够使用完善的、功能齐全的应用程序安装自己的恶意有效载荷,从受损的Mac中获取屏幕截图和其他敏感数据,并执行写入恶意软件的其他恶意操作。

他说,除了其他黑客这么做的风险之外,其他政府有时可能劫持另一个政府的恶意软件而不是使用自己的恶意软件有两个原因。

它可能允许攻击者,特别是来自国家支持的组织的攻击者,感染高风险环境,例如那些已经被感染并在其他恶意软件行为者的眼皮底下。在这种情况下,许多国家黑客组织将放弃部署他们的皇冠宝石恶意软件,以保持专有的战术,技术和程序的隐私。

在这些场景中,重新定位他人的恶意软件可能是一个合适的替代方案。如果检测到恶意软件感染并对其进行法医分析,研究人员很有可能会将攻击错误归咎于原来的黑客,而不是重新利用恶意软件的一方。

他说,这已经发生了。例如,有证据表明,美国国家安全局开发的恶意软件已被中国、朝鲜和俄罗斯联邦所使用。当美国政府要求苹果创建一个妥协版本的iOS供美国执法部门使用时,要记住一些事情。

你可以在下面看沃德尔的演讲,请看这里的幻灯片很好地描述沃德尔是如何从劫机案中走出来的全员ArsTechnica报告.

应该注意的是,Wardle描述的是状态创建的mac恶意软件,它实际上是通过无限的资源实现的;大多数mac恶意软件都存在。比威胁更令人讨厌.



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6799601706133881348/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部