新闻快讯
< >

揭露朝鲜杀毒软件抄袭日本过时代码,捆绑恶意软件

揭露朝鲜杀毒软件抄袭日本过时代码,捆绑恶意软件-E安全

来自网络安全公司Check Point的研究人员Mark Lechtik和Michael Kajiloti在本周二(5月1日)发布的一篇分析调查报告中称,他们对朝鲜本土杀毒软件SiliVaccine进行了一项揭露性的调查。

调查结果显示,SiliVaccine源代码中的一个关键组成部分使用了日本安全解决方案提供商趋势科技(Trend Micro)在十年前开发的一个过时扫描引擎模块,并且捆绑了一种被称为“JAKU”的恶意软件。

研究人员表示,用于分析的软件副本是由自由撰稿人Martyn Williams提供的,他同时也是朝鲜科技网的主编。根据Williams的描述,一个名为“Kang Yong Hak”自称是日本工程师的人在2014年7月8日通过电子邮件向他发送了这款杀毒软件,但在收到电子邮件的几个小时内,此人的电子邮箱就已经被停用。

揭露朝鲜杀毒软件抄袭日本过时代码,捆绑恶意软件-E安全

在电子邮件正文中包含了一个托管有一个zip文件的Dropbox(多宝箱,一款免费网络文件同步工具)链接。这个zip文件包含有一份SiliVaccine软件的副本以及一份采用韩语编写的自述文档文件(指导如何使用该软件)和一个看上去疑似SiliVaccine软件补丁的文件。

Mark Lechtik和Michael Kajiloti在对SiliVaccine的引擎文件进行分析后发现,其源代码与趋势科技在十多年前开发的反病毒引擎源代码完全匹配,而趋势科技是一家总部位于东京且完全独立的日本网络安全解决方案提供商,它与朝鲜企业并无合作关系。

虽然这些代码并非完整的复制过来,但有足够的相似性来肯定这些代码的确来自趋势科技,而SiliVaccine的开发人员只是在其基础上进行了一些自定义的修改,试图掩盖代码匹配的事实。

通常来讲,杀毒软件的目的是阻止所有已知的恶意软件签名。然而,对SiliVaccine的深入调查表明,它旨在忽略一个特定的签名。Mark Lechtik和Michael Kajiloti在SiliVaccine的源代码中发现了一个被命名为“Mal.Nucrp.F (由趋势科技检测为MAL_NUCRP-5)”的硬编码恶意软件签名白名单。这是一个恶意软件家族,这意味着即使SiliVaccine检测到此类恶意软件,它也不会对其进行删除或向用户发出警告。

揭露朝鲜杀毒软件抄袭日本过时代码,捆绑恶意软件-E安全

不仅如此,调查还发现,由Williams提供的SiliVaccine副本还捆绑了一种被命名为“Jaku”的恶意软件。根据网络安全技术公司Forcepoint在2016年5月发布的一份分析报告来看,Jaku是一个主要针对科学家、工程师和学者的僵尸网络。

JAKU的运营团队被认为与朝鲜存在关联,主要利用BT网站提供的虚假种子文件来感染受害者。在当时,大约有1.9万名计算机用户成为了其受害者,其中42%来自韩国、31%来自日本、9%来自中国、6%来自美国。

另外,在上文中提到的包含在zip文件中的补丁文件也被证实用于提供Jaku恶意软件的第一阶段加载器(dropper)。Mark Lechtik及其同事Michael Kajiloti表示,他们将于5月23日在美国俄勒冈州波特兰市举办的Caro Workshop计算机安全会议上详细介绍这一调查结果。