歡迎光臨
每天分享高質量文章

朝鮮自研防毒軟體外洩,採用十年前趨勢科技的盜版引擎

來自:FreeBuf.COM

*參考來源:Check Point,由Andy編譯

在一項獨家研究中,Check Point研究人員對朝鮮本土的防毒軟體 SiliVaccine 進行了一項揭露性調查。發現一個非常有趣的問題是,SiliVaccine程式碼的一個關鍵組成部分是趨勢科技(一家日本公司)的軟體元件10年曆史版本。

背景

2014年7月8日,一位專註於朝鮮技術的自由記者Martyn Williams收到了一封自稱”Kang Yong Hak“的日本工程師的可疑郵件,透過其中的連結,研究人員發現Dropbox裡的一個 zip 檔案,包含朝鮮自主研發的防毒軟體SiliVaccine 軟體的副本,以及一個韓文的自述檔案,指導如何使用該軟體。

SiliVaccine 的架構

在對SiliVaccine的引擎檔案進行詳細的取證分析後,Check Point 團隊發現SiliVaccine和趨勢科技的大型反病毒引擎程式碼完全匹配,趨勢科技是一家完全獨立的日本網路安全解決方案提供商。此外,SiliVaccine的作者很好地隱藏了這種完全匹配編碼。由於趨勢科技是一家日本公司,日本和朝鮮沒有任何正式的外交或政治關係,這是一個令人驚訝的發現。

SVKernel.dll和vsapi32.dll之間的二進位制比較結果

當然,防毒軟體的目的是檢測已知特徵的惡意程式,但調查人員發現朝鮮的防毒軟體有意放過了一種惡意程式,而該程式卻能夠被趨勢的防毒軟體檢測出來。雖然目前還不清楚這個簽名究竟是什麼,但外媒推測朝鮮政權並不想提醒使用者註意。

捆綁的惡意軟體

此外,SiliVanccine的一個更新補丁還被髮現含有JAKU 惡意程式,這並不算反病毒的一部分,卻可以用來針對像Martyn Williams 這樣的記者。

簡而言之,JAKU是一個高度複原的僵屍網路構成的惡意軟體,已經感染了大約19,000名受害者,主要透過惡意BT種子傳播。然而,它已被視為針對和追蹤韓國和日本的特定受害者,包括國際非政府組織(NGO)成員、學者、科學家和政府僱員。

這個惡意程式使用了 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的證書簽名。該公司的證書曾被 APT 組織 Dark Hotel 使用,而 Dark Hotel 和 JAKU 被認為都是朝鮮駭客的。

該防毒軟體與日本的關係

除了來自這位聲稱的日本發件人的包含朝鮮反病毒副本的初始電子郵件外,研究人員還發現了與日本的其他關係。

在調查過程中,研究人員發現了被認為已經編寫SiliVaccine軟體的公司名稱,其中兩家是PGI(Pyonyang Gwangmyong資訊科技)和STS Tech-Service。

STS技術服務公司似乎是朝鮮的一家公司,它以前曾與其他公司合作,其中包括以“Silver Star”和“Magnolia”為名的公司,這兩家公司都位於日本。

然而,日本和朝鮮之間沒有任何官方外交關係的敵對關係。

Check Point表示,這次對SiliVaccine 的調查,可能會引發人們對朝鮮這個隱秘國家開發和運營IT安全產品的可靠性和動機的質疑。

雖然網路安全工作一直都是一項非常艱巨的任務,Check point 的調查結果發現了很多問題。顯然,SiliVaccine的開發者和支持者的目的才是真正可疑的。

趨勢科技的回應

在發現這樣的問題之後,Check Point 聯絡趨勢科技瞭解其在SiliVaccine中使用的檢測引擎。很快便有瞭如下回應:

趨勢科技瞭解到Check Point對’SiliVaccine’朝鮮防毒軟體的研究,Check Point向我們提供了一份用於驗證的軟體副本。儘管我們無法確認該副本的來源或真實性,但它顯然已合併由各種產品使用的廣泛分佈的趨勢科技掃描引擎的10年以上版本的模組。然而,趨勢科技從未在朝鮮或與朝鮮做過生意。我們相信,這些模組的任何此類使用都完全沒有許可且是非法的,我們也沒有看到證據顯示涉及原始碼。流出的這個掃描引擎版本相當陳舊,多年來已透過各種OEM交易廣泛納入趨勢科技和第三方安全產品的商業產品中,所以SiliVaccine的開發者獲得這些內容的具體手段我們並不清楚。趨勢科技對軟體盜版採取強烈反對立場,但在這種情況下,法律追索權不會有成效。同時,我們不認為涉嫌侵權的這些用途會給我們的客戶帶來任何重大風險。

趨勢科技指出,被廣泛許可的被盜用可能是SiliVaccine使用他們的十年前版本掃描引擎的後盾,我們的團隊還對使用舊版的SiliVaccine進行了額外分析,結果表明這樣的事情並不是第一次發生。

Check Point對SiliVaccine調查的技術細節可點選閱讀原文檢視:


●編號605,輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

Linux學習

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維。

贊(0)

分享創造快樂