">

福利一区二区在线观看_综合三级亚洲高清_精品免费视频在线观看_男下部进入女人下部猛进猛出_亚洲精品中文字幕久久无_成人黄色免费毛片_能看见球和皮日皮的视频_国产一区av高清_日韩真人做a爱免费视频_性开放推油按摩AV大片

歡迎光臨上海紫卓電子科技有限公司! 固話:021-31007998    熱線:18721906708
手機(jī)  |   地圖  |   RSS
SiliVaccine:深入探討朝鮮防病毒軟件的專題報(bào)告
分類:嵌入式瀏覽量:284 TAG:

揭露調(diào)查:在一項(xiàng)獨(dú)家研究中,Check Point 研究人員針對(duì)朝鮮本土防病毒軟件 SiliVaccine 進(jìn)行了深入的揭露性調(diào)查。其中一個(gè)引人關(guān)注的因素是,SiliVaccine 代碼的一個(gè)關(guān)鍵組件抄襲了日本公司 Trend Micro(趨勢(shì)科技)十年前的軟件組件。

 

可疑電子郵件 

 

Martyn Williams 是一名以朝鮮科技為主要素材的自由撰稿人,我們的研究團(tuán)隊(duì)此前從這名新聞工作者處收到一份非常罕見的朝鮮“SiliVaccine”防病毒軟件樣本,由此開始展開了本次調(diào)查。Williams 本人曾在一封可疑電子郵件中收到該軟件的鏈接,這封電子郵件發(fā)送于 2014 年 7 月 8 日,署名“Kang Yong Hak”。隨即,這名發(fā)件人的信箱自此遁形,無法回復(fù)訪問。

 

這封奇怪電子郵件的發(fā)件人“Kang Yong Hak”自稱是一名日本工程師,郵件中包含 Dropbox 托管的 zip 文件鏈接,文件中有一份 SiliVaccine 軟件副本、一份講解該軟件使用方法的朝鮮語自述文件,以及一份偽裝成 SiliVaccine 更新補(bǔ)丁的可疑文件

 

Trend Micro 的掃描引擎

 

在對(duì) SiliVaccine 引擎文件這個(gè)用于提供防病毒軟件的核心文件掃描功能的組件進(jìn)行過詳細(xì)取證分析之后,我們的研究團(tuán)隊(duì)發(fā)現(xiàn) SiliVaccine 與 Trend Micro 公司十年前防病毒引擎代碼的大段內(nèi)容完全匹配,后者是日本的一家完全獨(dú)立的網(wǎng)絡(luò)安全解決方案供應(yīng)商。要做到這一點(diǎn),構(gòu)建 SiliVaccine 的開發(fā)人員需要有權(quán)限任意訪問 Trend Micro 商業(yè)發(fā)布產(chǎn)品的已編譯資料庫(kù),或從理論上講,具有源代碼訪問權(quán)限。

 

防病毒軟件的目的理應(yīng)在于攔截所有已知惡意軟件簽名。然而,對(duì) SiliVaccine 進(jìn)行更深一步調(diào)查后發(fā)現(xiàn),該軟件設(shè)計(jì)目的在于忽略一個(gè)特定簽名,而實(shí)際在通常情況下本應(yīng)對(duì)該簽名進(jìn)行攔截,并且 Trend Micro 檢測(cè)引擎會(huì)對(duì)此予以攔截。盡管尚不清楚此簽名的實(shí)際內(nèi)容,但很明確的是,朝鮮政體并不想就此向該軟件的用戶發(fā)出警示。

 

捆綁的惡意軟件

 

至于所謂的補(bǔ)丁更新文件,研究發(fā)現(xiàn)其實(shí)是 JAKU 惡意軟件。這并非防病毒軟件的必要部分,但可能被放在 zip 文件中用于將攻擊目標(biāo)指向 Williams 等新聞工作者。

 

簡(jiǎn)言之,JAKU 是一個(gè)具有高強(qiáng)適應(yīng)能力的僵尸網(wǎng)絡(luò),其形成的惡意軟件主要通過惡意 BitTorrent 文件共享進(jìn)行傳播,目前已經(jīng)感染了約 19,000 個(gè)受害者。不過,據(jù)悉該惡意軟件已經(jīng)將目標(biāo)對(duì)準(zhǔn)韓國(guó)和日本兩國(guó)的更多特定個(gè)人受害者,包括國(guó)際非政府組織 (NGO) 的成員、工程公司人員、學(xué)術(shù)界人士、科學(xué)家和政府雇員,并對(duì)這些受害者進(jìn)行追蹤。

 

我們的調(diào)查發(fā)現(xiàn),盡管 JAKU 文件已通過頒發(fā)給某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的證書進(jìn)行簽署,但后者也正是另一臭名昭著的 APT 組織 “Dark Hotel”用于簽署文件的同一家公司。JAKU 和 Dark Hotel 都可看作朝鮮威脅執(zhí)行者的“杰作”。

 

與日本的關(guān)聯(lián)

 

日本和朝鮮的政治和外交關(guān)系并不友好,因此在看似由日本國(guó)民發(fā)送的初始電子郵件中包含 SiliVaccine 副本難免令人生疑。然而這種可能性很低的關(guān)聯(lián)并不止于此,因?yàn)槲覀兊难芯咳藛T還發(fā)現(xiàn)了指向日本的其他關(guān)聯(lián)。

 

調(diào)查過程中,我們發(fā)現(xiàn)了據(jù)信編寫 SiliVaccine 的公司名稱:PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service。

據(jù)悉,STS Tech-Service 已與其他公司展開合作,包括在日本本土運(yùn)營(yíng)的兩家公司“Silver Star”和“Magnolia”,它們以往都曾與朝鮮政府實(shí)體朝鮮電腦研究中心 (Korea Computer Center, KCC) 有過合作。

 

Trend Micro 的回應(yīng)

 

我們的團(tuán)隊(duì)與 Trend Micro 聯(lián)系告知了關(guān)于 SiliVaccine 中正使用其檢測(cè)引擎的情況,該公司迅速做出回應(yīng)并給予高度配合。他們的回應(yīng)如下:

 

“Trend Micro 知曉 Check Point 關(guān)于朝鮮防病毒產(chǎn)品‘SiliVaccine’的研究,Check Point 也已向我方提供該軟件的副本以供查證。雖然我方無法確認(rèn)該副本的來源和真實(shí)性, 但很顯然,這款產(chǎn)品包含的模組基于曾在十多年前廣泛用于我們各種產(chǎn)品中的 Trend Micro 掃描引擎。Trend Micro 從未在朝鮮開展過業(yè)務(wù)運(yùn)營(yíng),也從未與之進(jìn)行過業(yè)務(wù)往來。我方確信,對(duì)這一模組的任何此類使用完全未經(jīng)許可且為非法行為,而且我方也未看到任何涉及源代碼的證據(jù)。討論所涉的掃描引擎版本早已過時(shí),并且通過多年的 OEM 交易,已在 Trend Micro 的商業(yè)產(chǎn)品和第三方安全產(chǎn)品中廣為應(yīng)用,因此 SiliVaccine 創(chuàng)建者采用何種特定手段獲得了該版本尚且不明。Trend Micro 會(huì)對(duì)軟件盜版行為采取強(qiáng)硬立場(chǎng),但是此種情況中的法律追索收效甚微。我方相信討論所涉的侵權(quán)使用不會(huì)對(duì)我們的客戶構(gòu)成任何實(shí)質(zhì)風(fēng)險(xiǎn)?!?nbsp;

 

SiliVaccine 使用 Trend Micro 掃描引擎十多年前的版本,可能暗示著后者廣獲許可的資料庫(kù)遭到濫用,這一情況也在 Check Point 團(tuán)隊(duì)針對(duì) SiliVaccine 舊版本做出更多分析后得到佐證。這表明此情況并非偶然現(xiàn)象。

 

總結(jié)

 

本次對(duì) SiliVaccine 的揭露性探查能夠充分引起對(duì)朝鮮這一“隱士王國(guó)”的 IT 安全產(chǎn)品和運(yùn)營(yíng)的可靠性與動(dòng)機(jī)產(chǎn)生懷疑。

 

歸因判斷始終是網(wǎng)絡(luò)安全方面的艱巨任務(wù),而我們的調(diào)查結(jié)果引發(fā)了諸多疑問。但 SiliVaccine 創(chuàng)建者的陰暗行徑和可疑用心毋庸置疑。我們的調(diào)查指出了在第五代網(wǎng)絡(luò)威脅形勢(shì)中使用國(guó)家支持技術(shù)的另一個(gè)示例。

 

如要側(cè)重技術(shù)角度了解 SiliVaccine 內(nèi)情,請(qǐng)查看 Check Point Research 的調(diào)查結(jié)果。


上海紫卓電子科技有限公司

地址:上海市嘉定工業(yè)區(qū)葉城路925號(hào)B區(qū)4幢J

網(wǎng)址:fashioncenter.cn

電話:021-31007998

傳真:021-31007998

郵件:569998567@qq.com

在線咨詢: 569998567

QQ在線咨詢
銷售電話:
18721906708
021-31007998
569998567