">
揭露調(diào)查:在一項(xiàng)獨(dú)家研究中,Check Point 研究人員針對(duì)朝鮮本土防病毒軟件 SiliVaccine 進(jìn)行了深入的揭露性調(diào)查。其中一個(gè)引人關(guān)注的因素是,SiliVaccine 代碼的一個(gè)關(guān)鍵組件抄襲了日本公司 Trend Micro(趨勢(shì)科技)十年前的軟件組件。
可疑電子郵件
Martyn Williams 是一名以朝鮮科技為主要素材的自由撰稿人,我們的研究團(tuán)隊(duì)此前從這名新聞工作者處收到一份非常罕見的朝鮮“SiliVaccine”防病毒軟件樣本,由此開始展開了本次調(diào)查。Williams 本人曾在一封可疑電子郵件中收到該軟件的鏈接,這封電子郵件發(fā)送于 2014 年 7 月 8 日,署名“Kang Yong Hak”。隨即,這名發(fā)件人的信箱自此遁形,無法回復(fù)訪問。
這封奇怪電子郵件的發(fā)件人“Kang Yong Hak”自稱是一名日本工程師,郵件中包含 Dropbox 托管的 zip 文件鏈接,文件中有一份 SiliVaccine 軟件副本、一份講解該軟件使用方法的朝鮮語自述文件,以及一份偽裝成 SiliVaccine 更新補(bǔ)丁的可疑文件
Trend Micro 的掃描引擎
在對(duì) SiliVaccine 引擎文件這個(gè)用于提供防病毒軟件的核心文件掃描功能的組件進(jìn)行過詳細(xì)取證分析之后,我們的研究團(tuán)隊(duì)發(fā)現(xiàn) SiliVaccine 與 Trend Micro 公司十年前防病毒引擎代碼的大段內(nèi)容完全匹配,后者是日本的一家完全獨(dú)立的網(wǎng)絡(luò)安全解決方案供應(yīng)商。要做到這一點(diǎn),構(gòu)建 SiliVaccine 的開發(fā)人員需要有權(quán)限任意訪問 Trend Micro 商業(yè)發(fā)布產(chǎn)品的已編譯資料庫(kù),或從理論上講,具有源代碼訪問權(quán)限。
防病毒軟件的目的理應(yīng)在于攔截所有已知惡意軟件簽名。然而,對(duì) SiliVaccine 進(jìn)行更深一步調(diào)查后發(fā)現(xiàn),該軟件設(shè)計(jì)目的在于忽略一個(gè)特定簽名,而實(shí)際在通常情況下本應(yīng)對(duì)該簽名進(jìn)行攔截,并且 Trend Micro 檢測(cè)引擎會(huì)對(duì)此予以攔截。盡管尚不清楚此簽名的實(shí)際內(nèi)容,但很明確的是,朝鮮政體并不想就此向該軟件的用戶發(fā)出警示。
捆綁的惡意軟件
至于所謂的補(bǔ)丁更新文件,研究發(fā)現(xiàn)其實(shí)是 JAKU 惡意軟件。這并非防病毒軟件的必要部分,但可能被放在 zip 文件中用于將攻擊目標(biāo)指向 Williams 等新聞工作者。
簡(jiǎn)言之,JAKU 是一個(gè)具有高強(qiáng)適應(yīng)能力的僵尸網(wǎng)絡(luò),其形成的惡意軟件主要通過惡意 BitTorrent 文件共享進(jìn)行傳播,目前已經(jīng)感染了約 19,000 個(gè)受害者。不過,據(jù)悉該惡意軟件已經(jīng)將目標(biāo)對(duì)準(zhǔn)韓國(guó)和日本兩國(guó)的更多特定個(gè)人受害者,包括國(guó)際非政府組織 (NGO) 的成員、工程公司人員、學(xué)術(shù)界人士、科學(xué)家和政府雇員,并對(duì)這些受害者進(jìn)行追蹤。
我們的調(diào)查發(fā)現(xiàn),盡管 JAKU 文件已通過頒發(fā)給某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的證書進(jìn)行簽署,但后者也正是另一臭名昭著的 APT 組織 “Dark Hotel”用于簽署文件的同一家公司。JAKU 和 Dark Hotel 都可看作朝鮮威脅執(zhí)行者的“杰作”。
與日本的關(guān)聯(lián)
日本和朝鮮的政治和外交關(guān)系并不友好,因此在看似由日本國(guó)民發(fā)送的初始電子郵件中包含 SiliVaccine 副本難免令人生疑。然而這種可能性很低的關(guān)聯(lián)并不止于此,因?yàn)槲覀兊难芯咳藛T還發(fā)現(xiàn)了指向日本的其他關(guān)聯(lián)。
調(diào)查過程中,我們發(fā)現(xiàn)了據(jù)信編寫 SiliVaccine 的公司名稱:PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service。
據(jù)悉,STS Tech-Service 已與其他公司展開合作,包括在日本本土運(yùn)營(yíng)的兩家公司“Silver Star”和“Magnolia”,它們以往都曾與朝鮮政府實(shí)體朝鮮電腦研究中心 (Korea Computer Center, KCC) 有過合作。
Trend Micro 的回應(yīng)
我們的團(tuán)隊(duì)與 Trend Micro 聯(lián)系告知了關(guān)于 SiliVaccine 中正使用其檢測(cè)引擎的情況,該公司迅速做出回應(yīng)并給予高度配合。他們的回應(yīng)如下:
“Trend Micro 知曉 Check Point 關(guān)于朝鮮防病毒產(chǎn)品‘SiliVaccine’的研究,Check Point 也已向我方提供該軟件的副本以供查證。雖然我方無法確認(rèn)該副本的來源和真實(shí)性, 但很顯然,這款產(chǎn)品包含的模組基于曾在十多年前廣泛用于我們各種產(chǎn)品中的 Trend Micro 掃描引擎。Trend Micro 從未在朝鮮開展過業(yè)務(wù)運(yùn)營(yíng),也從未與之進(jìn)行過業(yè)務(wù)往來。我方確信,對(duì)這一模組的任何此類使用完全未經(jīng)許可且為非法行為,而且我方也未看到任何涉及源代碼的證據(jù)。討論所涉的掃描引擎版本早已過時(shí),并且通過多年的 OEM 交易,已在 Trend Micro 的商業(yè)產(chǎn)品和第三方安全產(chǎn)品中廣為應(yīng)用,因此 SiliVaccine 創(chuàng)建者采用何種特定手段獲得了該版本尚且不明。Trend Micro 會(huì)對(duì)軟件盜版行為采取強(qiáng)硬立場(chǎng),但是此種情況中的法律追索收效甚微。我方相信討論所涉的侵權(quán)使用不會(huì)對(duì)我們的客戶構(gòu)成任何實(shí)質(zhì)風(fēng)險(xiǎn)?!?nbsp;
SiliVaccine 使用 Trend Micro 掃描引擎十多年前的版本,可能暗示著后者廣獲許可的資料庫(kù)遭到濫用,這一情況也在 Check Point 團(tuán)隊(duì)針對(duì) SiliVaccine 舊版本做出更多分析后得到佐證。這表明此情況并非偶然現(xiàn)象。
總結(jié)
本次對(duì) SiliVaccine 的揭露性探查能夠充分引起對(duì)朝鮮這一“隱士王國(guó)”的 IT 安全產(chǎn)品和運(yùn)營(yíng)的可靠性與動(dòng)機(jī)產(chǎn)生懷疑。
歸因判斷始終是網(wǎng)絡(luò)安全方面的艱巨任務(wù),而我們的調(diào)查結(jié)果引發(fā)了諸多疑問。但 SiliVaccine 創(chuàng)建者的陰暗行徑和可疑用心毋庸置疑。我們的調(diào)查指出了在第五代網(wǎng)絡(luò)威脅形勢(shì)中使用國(guó)家支持技術(shù)的另一個(gè)示例。
如要側(cè)重技術(shù)角度了解 SiliVaccine 內(nèi)情,請(qǐng)查看 Check Point Research 的調(diào)查結(jié)果。
上海紫卓電子科技有限公司
地址:上海市嘉定工業(yè)區(qū)葉城路925號(hào)B區(qū)4幢J
網(wǎng)址:fashioncenter.cn
電話:021-31007998
傳真:021-31007998
郵件:569998567@qq.com
在線咨詢:
569998567
致力成為優(yōu)秀的IC供應(yīng)配單專家及IC代理商
竭力為客戶提供一站式電子元器件采購(gòu)及IC配套服務(wù)
上海紫卓電子科技有限公司 版權(quán)所有 未經(jīng)授權(quán)禁止復(fù)制或鏡像
CopyRight 2020-2025 fashioncenter.cn All rights reserved