联系俄罗斯FSB的冒险

Kresonsecurity最近有机会联系俄罗斯联邦安全服务（FSB），俄罗斯联邦调查局（FBI）。在这样做的过程中，我遇到了一个小型障碍：FSB的网站表示，为了安全地与他们沟通，我需要下载并安装由至少20个防病毒产品标记的加密和虚拟专用网络（VPN）设备作为恶意软件。

我联系FSB的原因 - 俄罗斯KGB的继任机构之一 - 与臭名昭着的俄罗斯黑客关于FSB自己的首选方法有关的安全问题，讽刺地有足够的事项。

Kresonsecurity正在向FSB寻求关于由Vladislav“Badb”Horohorin发表的博客文章的评论，该博客议员是一名前国际被盗信用卡贩运者，他们在美国联邦监狱中为美国联邦监狱提供了七年，从2009年的RBS Worldpay为900万美元的作用.Horohorin是，俄罗斯，以色列和乌克兰的公民现在回到了他在乌克兰长大的地方，运营网络安全咨询业务。

访问FSB的网站，您可能会注意到其Web地址以http：//而不是https：//，意思是该网站未使用加密证书。实际上，访问者和网站之间共享的任何信息以纯文本发送，并将对任何可以访问该流量的人来见。

无论您访问哪个俄罗斯政府网站，这似乎是这种情况。据俄罗斯搜索巨头yandex，俄罗斯联邦的法律要求加密连接根据俄罗斯的GOST加密算法安装。

这意味着那些有理由向俄罗斯政府组织发送加密通信的人 - 包括向政府许可或罚款付款或提交法律文件的普通内容 - 需要首先安装加载加载的Windows应用程序用户计算机上的GOST加密库。

但是，如果您想通过加密连接直接与FSB通信，只需安装自己的客户端，即将其捆绑了加密代码。访问FSB的网站并选择“将有意义信息传输到操作单元”的选项，并且您将看到提示安装在FSB网站上的特定联系人表格之前需要的“随机数生成”应用程序将正确加载。

介意你，我并不是暗示任何人去做：Horohorin指出，这个随机数发生器被20种不同的防病毒和安全产品标记为恶意。

“在与FSB联系到任何问题或与他们打交道之前，请仔细考虑，如果您决定这样做，最好使用虚拟机，”Horohorin写道。 “和一个太空服。而且，最好在另一个国家。“

值得一提的是，FSB是与美国政府在过去五年多次在多次对恶意网络活动制裁的同一机构。根据美国财政部的最新制裁，FSB以招募地下论坛招募犯罪黑客并为其行动提供法律封面。

“为了加强其恶意网络行动，FSB培养和共同选择刑事黑客，包括以前指定的邪恶公司，使他们能够从事破坏性的赎金软件攻击和网络钓鱼活动，”从2021年4月读取财政部评估。

虽然Horohorin似乎相信FSB正在传播恶意软件，但是对于毒耦合或其他类似的恶意软件“沙箱”服务使用的大量安全工具并不罕见，而是错误地将安全文件与错误或可疑的安全文件 - 全常见的条件作为“假阳性”。

去年年底我警告我的追随者在Twitter上推迟为他们的戴尔产品安装更新，直到该公司可以解释为什么它被两次防病毒工具被检测为恶意软件被检测为恶意软件。那些都结果是误报。

为了真正弄清楚这个FSB软件正在做的事情，我转向纽约市纽约市的网络安全公司的创始人Lance James。詹姆斯表示，每个下载请求都生成一个新的可执行程序。这是因为文件本身的唯一性是使一对一加密连接成为可能的一部分。

“基本上它就像一个临时，一次性的VPN，使用每个下载的单独键”James表示。 “可执行文件是与您交换键的握手，因为它将exe中该会话的密钥存储了键。这是一种可怕的方法。但这是它的。“

詹姆斯表示，FSB的程序似乎似乎是恶意软件，至少在用户计算机上的操作方面。

“除了自我删除的事实外，没有实际的木马活动没有迹象，”詹姆斯说。 “它使用GOST加密，并且[防病毒产品]可能会认为这些属性看起来像勒索软件。”

詹姆斯表示，他怀疑杀毒假阳性被某些行为触发，这可能被解释为类似恶意软件。下面的屏幕截图 - 来自Virustotal - 说明了一些文件的内容与检测规则对齐，以找到勒索瓶的实例。

此文件介绍的其他检测规则包括从用户系统中删除事件日志的程序例程 - 尝试隐藏其曲目的恶意软件中经常看到的行为。

在一个只包括测试程序中的GOST加密例程的亨舍中可能足以触发Virustotal中的误报，James在C ++中编写了一个调用GOST密码的C ++的短程，但否则没有网络组件。然后他上传了文件扫描Virustotal。

尽管詹姆斯的测试程序没有任何不知情或恶意，但它被六个防病毒发动机标记为潜在的敌对。赛门铁克的机器学习引擎似乎特别确定了詹姆斯的文件可能是糟糕的，授权它的威胁名称“ml.attribute.highconfident” - 它分配给FSB的程序的相同名称。

KrebsOnsecurity使用单独的VPN在测试计算机上安装FSB软件，并将其连接到当前分配给FSB的Internet地址（213.24.76.xxx）。

该程序提示我点击屏幕的各个部分，为加密密钥生成随机性，并且当完成时，它留下了一个小窗口，该窗口以俄语解释了该连接，即我应该访问FSB上的特定链接地点。

这样做打开了一个页面，我可以为fsb留言。我问他们是否对他们的程序有任何响应被广泛被标记为恶意软件。

毕竟努力，我对报告说我还没有收到答复。我也没有听到S-Terra CSP，这是由FSB提供的VPN软件的公司。

詹姆斯说，鉴于他们的立场，他可以看到为什么许多防病毒产品可能认为这是恶意软件。

“由于他们不会使用我们的加密，我们不会使用他们，”詹姆斯说。 “这是关于加密政治怪异的伟大解释。”

詹姆斯说，许多事情只是对FSB选择部署一次一次性VPN软件的方式没有意义。

“他们让这个的方式突然相信动态变化的exe仍然非常有关。此外，为什么当计算机内置完全有效和测试的随机数发生器时，为什么会在exe中发出256个随机数发生器种子？使用您在非安全环境中决定的键向我发送exe。为什么他妈的如果你是一个顶级情报机构，你会这样做吗？“

为什么确实。如果原子能机构要求每个人首先安装可执行文件，我想知道有关联邦犯罪的信息，以便首先安装可执行文件 - 只要对杀毒公司看起来很像赎金软件，那么请任何一个

在进行这项研究之后，我学会了FSB最近推出了一个只能通过Tor，通过在不同服务器之间进行流量来保护用户匿名的软件来访问一个网站，并在路上的每一步中加密流量。与FSB的清晰网站不同，该机构的Tor网站不会要求访客在联系之前下载一些狡猾的软件。

“应用程序正在运行有限的时间以确保您的安全性，”FSB随机数发电机的指令确保，并只是轻柔地轻浮。 “完成后不要忘记关闭应用程序。”

是的，别忘了。此外，完成后不要忘记焚烧您的计算机。

如果FSB是这样......好吧......我无法想象与FBI有什么......

“如果原子能机构要求每个人首先安装可执行文件，我想知道有关联邦犯罪的信息将分享有关联邦犯罪的信息......”这是一个社交工程功能而不是错误。它在许多注册表上下文中弹出。首先，虽然（大坏）执法可以在平淡的视线中收集证据，但他们可以回到偶然的解释和进一步的问题。 FBI“TIP PAGE”询问Tipsters参考因素，可以在休闲上整合和调查。其次，技术中没有人曾经突然跳过结论。这既不是FSB也没有联邦调查局会善意操纵是一个不是结论的发现，但它总是一个选择。