Antivirus als Spionage-Tool

Moderne Antivirus-Software schickt lokal gefundene Malware zur weiteren Analyse an den Server des AV-Herstellers. Durch passende Signatur-Updates kann man damit jedoch auch heimlich nach beliebigen Daten suchen und diese unbemerkt herausschleusen. Patrick Wardle zeigt das in All Your Docs Are Belong To Us — reversing an av engine to compose signatures capable of detecting classified documents.

Fortschrittliche Cyber-Spionage Features

Patrick weist darauf hin, daß Antivirus ironischerweise dieselben Features hat wie Cyber-Spionage Software:

• Persistence: Sie sorgt dafür, daß sie immer läuft. Mit Hintergrund-Komponenten, die vom Benutzer unbemerkt bleiben.
• Scan: Überwachen und Scannen aller Dateien inklusive privater Daten.
• Fernsteuerung: Das Verhalten und die Fähigkeiten der Software werden durch automatische Updates vom Command and Control- bzw. Antivirus-Server gesteuert über Steuerbefehl-Codes bzw. "Signaturen", die das Software-Verhalten verändern ohne daß der User die Verhaltens-Änderung mitbekommt.
• Upload: Die Software schleust Dateien vom lokalen Rechner hoch zu ihrem Server zur weiteren Analyse.
• Anti-Analysis: Die Software ist so gestaltet, daß sie Reverse Engineering erschwert.

Spionage nach Bedarf

Das Verhalten von Antivirus wird durch die nachgeladenen Signaturen bestimmt. Bei modernen AV-Programmen sind das nicht mehr nur allein einfache Muster im Sinne von regulären Ausdrücken, sondern auch ausführbarer Code. Selbst wenn man also den Quellcode des AV-Programmes überprüfen würde, könnte man nicht sagen, wie es sich im konkreten Fall verhalten wird, weil es mit jedem Signatur-Update geändert wird.

Der einfachste Weg, um nachzuweisen, daß man die AV durch eine entsprechende Signatur (Scan-Muster) nach beliebigen Dokumenten suchen lassen kann, war für Patrick, testweise eine Signatur im Hauptspeicher der AV zu verändern. Damit erspart er sich, das Dateiformat und die Verschlüsselung der Such-Signaturen zu knacken. Der AV-Hersteller würde hingegen direkt auf seinem Server eine passende Signatur bereitstellen, sei es aus eigenem Antrieb oder erzwungen durch den Staat oder wen auch immer.

Patrick war in der Lage mittels einer passenden Signatur die AV dazu zu bringen, nach Dokumenten zu suchen, die zum Beispiel einen Hinvweis auf eine Geheimhaltungsstufe enthielten. Die AV spürt nun die passenden Dateien auf und schickt sie als "verdächtig" an den AV-Server.

Trau, schau wem

Selbst wenn der AV-Hersteller ehrenhaft ist und seine AV-Engine frei von Datenmißbrauch ist, so kann sich das doch jederzeit dynamisch ändern durch neue Signaturen, die täglich aktualisiert werden. Wenn der jeweilige Geheimdienst beispielsweise bestimmte Signaturen "wünscht", dann kann damit eine gezielte Spionage auf genau auswählbaren Rechnern durchgeführt werden. Man muß ja nicht jedem Kunden dieselben Signaturen schicken.

Wenn einem Sicherheit oder Datenschutz wichtig ist, sollte man sich im Klaren darüber sein, daß jede moderne AV jederzeit umgedreht werden kann und als Doppelagent nach beliebig definierten Zielen auf Deinem Rechner suchen und diese rausschicken kann. Wie Patrick schreibt: Die dünne Linie zwischen Gut und Böse besteht hier nur aus einer bösen digitalen "Malware"-Signatur zwischen den vielen harmlosen, die die AV verwendet.

Kaspersky und die NSA-Dokumente

In 2017 gab es den bekannten Fall, in dem laut Kasperky versehentlich zusammen mit gefundener Malware auch geheime US Regierungsdokumente von einem NSA-Rechner an den Kaspersky-Server geschickt wurden.

So ein Vorfall ist natürlich extrem peinlich für beide Seiten. Offenbar ist also nicht einmal eine böse Signatur notwendig, um geheime Dokumente an Server in anderen Staaten zu verlieren. Wie viel schlimmer mag es werden, wenn dieses Feature nicht nur aus Versehen, sondern irgendwann mal geplant und gezielt bösartig eingesetzt wird?

Fazit

So wie man mit einem Messer nicht nur seinen Kindern Brötchen schmieren kann, so kann man damit auch jemanden umbringen. Und AV-Software ist wie ein Messer, dem vom AV-Server gesagt wird, was es tun soll. Wieder ein Grund mehr, warum ich von AV abrate.

Nachtrag: Malware nutzt AV zum Datenklau

Selbst wenn der AV-Hersteller koscher ist und auch nicht gezwungen wird, zusätzlich böse Signaturen auszuliefern, kann die Analyse-Funktion der Antivirus-Software immer noch von Malware zum Datenklau mißbraucht werden wie in The Adventures of AV and the Leaky Sandbox gezeigt und auch bei Heise mit Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken berichtet.

Das geht wie folgt: Die neue Malware sammelt fleißig Daten vom lokalen Rechner. Nun will sie die Sammlung an die bösen Jungs schicken. Das geht nicht in jedem Fall direkt, denn mancher Rechner hat nur begrenzten Zugang zum Netz. Aber der AV-Software auf dem Computer wird erlaubt, Malware zur Analyse an den AV-Server zu schicken.

Nun bettet die neue Malware ihre Datensammlung in eine bekannte alte Malware ein und startet diese. Die AV springt wie gewünscht auf die alte Malware an und schickt sie zur Analyse an den AV-Server. Dieser führt sie aus, um sie zu untersuchen. Die eingebettete Erweiterung erkennt die Testumgebung/Sandbox und schickt die Datensammlung an den Server des Angreifers.

Die AV-Server-Sandboxen lassen aus unterschiedlichen Gründen Netzzugriff zu. Manche mit Absicht, um die Kommunikation der Malware mit ihren Command and Control Servern aufzuzeichnen. Und selbst wenn HTTP gesperrt ist, kann die Malware laut Test der Forscher noch über andere Protokolle wie DNS, SMTP, IRC, ICMP beliebig Daten raussenden.

Dieses Vorgehen funktioniert laut den Tests der Forscher mit den bekannten großen AV-Herstellern wie Kaspersky. Die Cloud-Funktion der AV-Software, die zur verbesserten Erkennung beitragen soll, wird so ausgenutzt zum verbesserten Senden aus Umgebungen, aus denen man sonst keine Daten herausschmuggeln könnte. Erst die AV sorgt in abgesicherten Netzen für einen Weg nach draußen. Und in normalen Situation sorgt die AV für einen zusätzlichen verdeckten Weg nach draußen, weil keine Firewall den Verkehr der AV als verdächtig einstufen wird.

---