曾在美国国安局(NSA)任职,之后担任Jamf首席安全研究人员的Patrick Wardle,在上周于旧金山举行的RSA安全会议上,说明如何将利用国家资源开发的macOS恶意程序纳为己用,只要花费少少的力气,就能使用专家所打造的恶意程序。
Wardle借用并改编了艺术家毕卡索的名言:“好的黑客(艺术家)抄袭,伟大的黑客(艺术家)剽窃”来阐明他的立场。他认为,与其问说为什么要剽窃他人打造的恶意程序,不如问说“为何不?”(Why Not?)
美国中情局、国安局与其它14家美国的情报组织在2018年的总经费为594亿美元,而美国军方的情报经费则是221亿美元,在这么多的预算下,它们所打造的macOS恶意程序不但具备丰富的功能,还经过完整的测试,不只是美国情报单位,拥有更多预算的APT及网络黑客集团,也都有能力撰写出更好的恶意程序。
事实上,由吹哨者Edward Snowden公布的NSA文件显示,NSA持续监控诸如卡巴斯基等外国安全企业的流量,也拦截重要文件,包括由研究人员针对杀毒软件漏洞所撰写的恶意程序,NSA即指示有关部门可重新利用这些恶意程序,同时以它们来检查安全企业的杀毒软件,是否还存在相关漏洞。
此外,在NSA的工具外流之后,中国的情报机关也利用这些工具,来攻击美国的盟友。
因此,Wardle指出,政府机关能做这样的事,那黑客也可以。即使缺乏恶意程序的源码,但从恶意程序的行为,可以找到所有有关的逻辑,进而理解命令暨控制(C&C)服务器的协议,之后拼凑它们,再创建自己的C&C服务器,然后避免遭到杀毒软件的侦测,就能将这些由专家打造的恶意程序纳为己用。
经过初步的改造之后,恶意程序就会将情报回传给Wardle所创建的C&C服务器,等于接管了恶意程序的控制权,并可加载自己需要的恶意功能,节省从头开发强大恶意程序的时间与成本。
它还可能有两个额外的好处,一是入侵已被另一方黑客严密管控的环境,二是当受害者逮到恶意程序时,关注到的也许是原始黑客,而非Wardle。
由于Jamf主要开发苹果平台的企业管理软件,也使得Wardle的研究只着重于macOS平台。