在一项独家研究中,Check Point研究人员对朝鲜本土的杀毒软件 SiliVaccine 进行了一项揭露性调查。发现一个非常有趣的问题是,SiliVaccine代码的一个关键组成部分是趋势科技(一家日本公司)的软件组件10年历史版本。
背景
SiliVaccine 的架构
SVKernel.dll和vsapi32.dll之间的二进制比较结果
当然,杀毒软件的目的是检测已知特征的恶意程序,但调查人员发现朝鲜的杀毒软件有意放过了一种恶意程序,而该程序却能够被趋势的杀毒软件检测出来。虽然目前还不清楚这个签名究竟是什么,但外媒推测朝鲜政权并不想提醒用户注意。
捆绑的恶意软件
简而言之,JAKU是一个高度复原的僵尸 络构成的恶意软件,已经感染了大约19,000名受害者,主要通过恶意BT种子传播。然而,它已被视为针对和追踪韩国和日本的特定受害者,包括国际非政府组织(NGO)成员、学者、科学家和政府雇员。
这个恶意程序使用了 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的证书签名。该公司的证书曾被 APT 组织 Dark Hotel 使用,而 Dark Hotel 和 JAKU 被认为都是朝鲜黑客的。
该杀毒软件与日本的关系
除了来自这位声称的日本发件人的包含朝鲜反病毒副本的初始电子邮件外,研究人员还发现了与日本的其他关系。
在调查过程中,研究人员发现了被认为已经编写SiliVaccine软件的公司名称,其中两家是PGI(Pyonyang Gwangmyong信息技术)和STS Tech-Service。
STS技术服务公司似乎是朝鲜的一家公司,它以前曾与其他公司合作,其中包括以“Silver Star”和“Magnolia”为名的公司,这两家公司都位于日本。
然而,日本和朝鲜之间没有任何官方外交关系的敌对关系。
Check Point表示,这次对SiliVaccine 的调查,可能会引发人们对朝鲜这个隐秘国家开发和运营IT安全产品的可靠性和动机的质疑。
虽然 络安全工作一直都是一项非常艰巨的任务,Check point 的调查结果发现了很多问题。显然,SiliVaccine的开发者和支持者的目的才是真正可疑的。
趋势科技的回应
在发现这样的问题之后,Check Point 联系趋势科技了解其在SiliVaccine中使用的检测引擎。很快便有了如下回应:
趋势科技指出,被广泛许可的被盗用可能是SiliVaccine使用他们的十年前版本扫描引擎的后盾,我们的团队还对使用旧版的SiliVaccine进行了额外分析,结果表明这样的事情并不是第一次发生。
Check Point 对SiliVaccine调查的详细技术细节可跳转原文查看:
https://research.checkpoint.com/silivaccine-a-look-inside-north-koreas-anti-virus/
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!