Vault 7 จาก WikiLeaks เผย CIA สามารถบายพาสผลิตภัณฑ์ Security ได้ถึง 21 ราย

WikiLeaks ได้ออกมาเปิดเผยถึง Vault 7 ซึ่งเป็นเอกสารข้อมูลชุดเครื่องมือแฮ็คที่ CIA ใช้งาน จากการตรวจสอบเอกสารล่าสุดพบว่า เครื่องมือดังกล่าวช่วยให้ CIA สามารถบายพาสผลิตภัณฑ์ด้านความมั่นคงปลอดภัยของ Vendor ชื่อดังได้ถึง 21 ราย ไม่ว่าจะเป็น Trend Micro, Symantec, Kaspersky และ McAfee

ข้อมูลที่หลุดออกมานี้ประกอบด้วยเอกสารและคู่มือที่เกี่ยวข้องกับเครื่องมือที่ WikiLeaks อ้างว่า CIA ใช้แฮ็คกว่า 8,700 ฉบับ หนึ่งในนั้นจั่วหัวว่า “Perssonal Security Products (PSPs)” ซึ่งระบุรายการผลิตภัณฑ์ด้านความมั่นคงปลอดภัยรวม 21 ราย แต่ละรายการจะลิงค์ไปยังเอกสารแยกเฉพาะผลิตภัณฑ์รายนั้นๆ ซึ่งจะบรรยายเกี่ยวกับวิธีการเจาะระบบและเทคนิคที่ใช้เพื่อให้สามารถบายพาสผลิตภัณฑ์ดังกล่าวได้

ผลิตภัณฑ์ทั้ง 21 รายที่ถูกอ้างว่าสามารถบายพาสได้นั้นประกอบด้วย Vendor ซอฟต์แวร์ Antivirus ชื่อดังมากมาย ได้แก่ Avast, AVG, Avira, Bitdefender, ClamAV, Comodo, EMET (Enhanced Mitigation Experience Toolkit), ESET, F-Secure, GDATA, Kaspersky, Malwarebytes Anti-Malware, McAfee, Microsoft Security Essentials, Norton, Panda Security, Rising, Symantec, Trend Micro, Zemana Antilogger, Zone Alarm

ข้อมูลวิธีเจาะระบบหรือบายพาสผลิตภัณฑ์ด้านความมั่นคงปลอดภัยเหล่านี้ส่วนใหญ่จะถูกเซ็นเซอร์ไม่ให้เห็น เนื่องจากป้องกันการนำไปใช้ในทางที่ผิด นอกจากนี้ WilkiLeaks ยังเซ็นเซอร์ข้อมูลบน Vault 7 อีกกว่า 70,000 รายการ ซึ่งประกอบด้วยโค้ดอันตรายที่ใช้แฮ็ค และข้อมูลส่วนบุคคลของผู้ใช้

อย่างไรก็ตาม มีผลิตภัณฑ์ 3 รายที่ไม่ถูกเซ็นเซอร์ ได้แก่ AVG, Avira และ F-Secure ซึ่งภายในเอกสารระบุข้อมูล ดังนี้

In OSB’s experience, F-Secure has generally been a lower tier product that causes us minimal difficulty. The only annoyance we have observed is that F-Secure has an apparent entropy-based heuristic that flags Trojaned applications or other binaries containing encrypted/compressed payloads. Two defeats are known to exist: On involves using RAR file string tables in the resource section, the other involves cloning a RAR file manifest file – the manifest technique also works against Avira’s entropy-based heuristics.

Avira has historically been a popular product among [Counter Terrorism] targets, but is typically easy to evade. Similar to F-Secure, Avira has an apparent entropy-based heuristic that flags binaries containing encrypted/compressed payloads, but there are two known defeats.

AVG Catches a Payload Dropped to Disk and Launched via Link File Well After Execution (Process Hollowing)

ที่มา: https://www.bleepingcomputer.com/news/security/vault-7-wikileaks-docs-hint-cia-could-bypass-21-security-products/