朝鲜自研杀毒软件外泄,采用十年前趋势科技的盗版引擎

在一项独家研究中,Check Point研究人员对朝鲜本土的杀毒软件 SiliVaccine 进行了一项揭露性调查。发现一个非常有趣的问题是,SiliVaccine代码的一个关键组成部分是趋势科技(一家日本公司)的软件组件10年历史版本。

背景

2014年7月8日,一位专注于朝鲜技术的自由记者Martyn Williams收到了一封自称”Kang Yong Hak“的日本工程师的可疑邮件,通过其中的链接,研究人员发现Dropbox里的一个 zip 文件,包含朝鲜自主研发的杀毒软件SiliVaccine 软件的副本,以及一个韩文的自述文件,指导如何使用该软件。

SiliVaccine 的架构

在对SiliVaccine的引擎文件进行详细的取证分析后,Check Point 团队发现SiliVaccine和趋势科技的大型反病毒引擎代码完全匹配,趋势科技是一家完全独立的日本网络安全解决方案提供商。此外,SiliVaccine的作者很好地隐藏了这种完全匹配编码。由于趋势科技是一家日本公司,日本和朝鲜没有任何正式的外交或政治关系,这是一个令人惊讶的发现。

SVKernel.dll和vsapi32.dll之间的二进制比较结果

当然,杀毒软件的目的是检测已知特征的恶意程序,但调查人员发现朝鲜的杀毒软件有意放过了一种恶意程序,而该程序却能够被趋势的杀毒软件检测出来。虽然目前还不清楚这个签名究竟是什么,但外媒推测朝鲜政权并不想提醒用户注意。

捆绑的恶意软件

此外,SiliVanccine的一个更新补丁还被发现含有JAKU 恶意程序,这并不算反病毒的一部分,却可以用来针对像Martyn Williams 这样的记者。

简而言之,JAKU是一个高度复原的僵尸网络构成的恶意软件,已经感染了大约19,000名受害者,主要通过恶意BT种子传播。然而,它已被视为针对和追踪韩国和日本的特定受害者,包括国际非政府组织(NGO)成员、学者、科学家和政府雇员。

这个恶意程序使用了 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的证书签名。该公司的证书曾被 APT 组织 Dark Hotel 使用,而 Dark Hotel 和 JAKU 被认为都是朝鲜黑客的。

该杀毒软件与日本的关系

除了来自这位声称的日本发件人的包含朝鲜反病毒副本的初始电子邮件外,研究人员还发现了与日本的其他关系。

在调查过程中,研究人员发现了被认为已经编写SiliVaccine软件的公司名称,其中两家是PGI(Pyonyang Gwangmyong信息技术)和STS Tech-Service。

STS技术服务公司似乎是朝鲜的一家公司,它以前曾与其他公司合作,其中包括以“Silver Star”和“Magnolia”为名的公司,这两家公司都位于日本。

然而,日本和朝鲜之间没有任何官方外交关系的敌对关系。

Check Point表示,这次对SiliVaccine 的调查,可能会引发人们对朝鲜这个隐秘国家开发和运营IT安全产品的可靠性和动机的质疑。

虽然网络安全工作一直都是一项非常艰巨的任务,Check point 的调查结果发现了很多问题。显然,SiliVaccine的开发者和支持者的目的才是真正可疑的。

趋势科技的回应

在发现这样的问题之后,Check Point 联系趋势科技了解其在SiliVaccine中使用的检测引擎。很快便有了如下回应:

趋势科技了解到Check Point对’SiliVaccine’朝鲜杀毒软件的研究,Check Point向我们提供了一份用于验证的软件副本。尽管我们无法确认该副本的来源或真实性,但它显然已合并由各种产品使用的广泛分布的趋势科技扫描引擎的10年以上版本的模块。然而,趋势科技从未在朝鲜或与朝鲜做过生意。我们相信,这些模块的任何此类使用都完全没有许可且是非法的,我们也没有看到证据显示涉及源代码。流出的这个扫描引擎版本相当陈旧,多年来已通过各种OEM交易广泛纳入趋势科技和第三方安全产品的商业产品中,所以SiliVaccine的开发者获得这些内容的具体手段我们并不清楚。趋势科技对软件盗版采取强烈反对立场,但在这种情况下,法律追索权不会有成效。同时,我们不认为涉嫌侵权的这些用途会给我们的客户带来任何重大风险。

趋势科技指出,被广泛许可的被盗用可能是SiliVaccine使用他们的十年前版本扫描引擎的后盾,我们的团队还对使用旧版的SiliVaccine进行了额外分析,结果表明这样的事情并不是第一次发生。

*参考来源:Check Point,由Andy编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

【小安看会】RSA2016 热点话题之——物联网安全

物联网安全 美国当地时间3月1日,RSA 大会开启新的一天,企业展览仍在继续,会议活动也异彩纷呈,随着日程的推进,关键词不断被剖析,业内人士对于物联网时代的安全...

3739
来自专栏华章科技

史上最大 DDoS 攻击爆发,物联网安全问题浮出水面

上周五,美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击,导致 Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报...

992
来自专栏知晓程序

微信朋友圈屏蔽今日头条 / 小程序「功能直达」新能力上线 / 腾讯传播「儿童邪典视频」被严处

最近,有网友发现转到朋友圈「今日头条」内容有时仅自己可见,而好友无法看到自己的分享。

1691
来自专栏一个会写诗的程序员的博客

Eric S. Raymond:如何成为一名黑客如何成为一名黑客How To Become A Hacker

http://www.0x08.org/docs/hacker-howto.html#hacker-howto

4372
来自专栏安全领域

十大业务步骤确保物联网生态系统的安全

在物联网环境中,设备、应用程序和人类通过巨大而又迥然不同的生态系统相互关联,安全是物联网部署中必不可少的一部分,这一点非常重要。

3316
来自专栏FreeBuf

浅谈互联网隐私安全

*本文原创作者:追影人,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 如今,互联网已经与我们的生活密切融合,我们的一举一动都会在网络上留下蛛丝马迹,...

8438
来自专栏镁客网

拉酷科技龚华超:用智能键盘Nums改变笔记本触控板,用触觉感知改变世界 | 镁客请讲

1910
来自专栏腾讯数据中心

数据中心未来供电技术发展浅析(下)

三、现有12V的市电直供应用情况: 3.1Google的12V分布式UPS Google的12V挂电池方案以分布式电源加分布式电池作为掉电备份。它的每个服务器带...

47713
来自专栏我的安全视界观

【挖洞技巧】那个简单的威胁情报

2316
来自专栏罗超频道

报刊亭二维码,这才是接地气的O2O

有城市的地方一定有城管,也一定有报刊亭。今日路过楼下的报刊亭,发现了一张有意思的广告牌:“二维码开启手机购物新时代”,除了醒目的二维码外,还展示了闹钟、...

3984

扫码关注云+社区

领取腾讯云代金券