在一項(xiàng)獨(dú)家研究中，Check Point研究人員對朝鮮本土的殺毒軟件 SiliVaccine 進(jìn)行了一項(xiàng)揭露性調(diào)查。發(fā)現(xiàn)一個(gè)非常有趣的問題是，SiliVaccine代碼的一個(gè)關(guān)鍵組成部分是趨勢科技（一家日本公司）的軟件組件10年歷史版本。

背景

2014年7月8日，一位專注于朝鮮技術(shù)的自由記者M(jìn)artyn Williams收到了一封自稱”Kang Yong Hak“的日本工程師的可疑郵件，通過其中的鏈接，研究人員發(fā)現(xiàn)Dropbox里的一個(gè) zip 文件，包含朝鮮自主研發(fā)的殺毒軟件SiliVaccine 軟件的副本，以及一個(gè)韓文的自述文件，指導(dǎo)如何使用該軟件。

在對SiliVaccine的引擎文件進(jìn)行詳細(xì)的取證分析后，Check Point 團(tuán)隊(duì)發(fā)現(xiàn)SiliVaccine和趨勢科技的大型反病毒引擎代碼完全匹配，趨勢科技是一家完全獨(dú)立的日本網(wǎng)絡(luò)安全解決方案提供商。此外，SiliVaccine的作者很好地隱藏了這種完全匹配編碼。由于趨勢科技是一家日本公司，日本和朝鮮沒有任何正式的外交或政治關(guān)系，這是一個(gè)令人驚訝的發(fā)現(xiàn)。

當(dāng)然，殺毒軟件的目的是檢測已知特征的惡意程序，但調(diào)查人員發(fā)現(xiàn)朝鮮的殺毒軟件有意放過了一種惡意程序，而該程序卻能夠被趨勢的殺毒軟件檢測出來。雖然目前還不清楚這個(gè)簽名究竟是什么，但外媒推測朝鮮政權(quán)并不想提醒用戶注意。

捆綁的惡意軟件

此外，SiliVanccine的一個(gè)更新補(bǔ)丁還被發(fā)現(xiàn)含有JAKU 惡意程序，這并不算反病毒的一部分，卻可以用來針對像Martyn Williams 這樣的記者。

簡而言之，JAKU是一個(gè)高度復(fù)原的僵尸網(wǎng)絡(luò)構(gòu)成的惡意軟件，已經(jīng)感染了大約19,000名受害者，主要通過惡意BT種子傳播。然而，它已被視為針對和追蹤韓國和日本的特定受害者，包括國際非政府組織（NGO）成員、學(xué)者、科學(xué)家和政府雇員。

這個(gè)惡意程序使用了 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的證書簽名。該公司的證書曾被 APT 組織 Dark Hotel 使用，而 Dark Hotel 和 JAKU 被認(rèn)為都是朝鮮黑客的。

該殺毒軟件與日本的關(guān)系

除了來自這位聲稱的日本發(fā)件人的包含朝鮮反病毒副本的初始電子郵件外，研究人員還發(fā)現(xiàn)了與日本的其他關(guān)系。

在調(diào)查過程中，研究人員發(fā)現(xiàn)了被認(rèn)為已經(jīng)編寫SiliVaccine軟件的公司名稱，其中兩家是PGI（Pyonyang Gwangmyong信息技術(shù)）和STS Tech-Service。

STS技術(shù)服務(wù)公司似乎是朝鮮的一家公司，它以前曾與其他公司合作，其中包括以“Silver Star”和“Magnolia”為名的公司，這兩家公司都位于日本。

然而，日本和朝鮮之間沒有任何官方外交關(guān)系的敵對關(guān)系。 

Check Point表示，這次對SiliVaccine 的調(diào)查，云服務(wù)器租用，可能會(huì)引發(fā)人們對朝鮮這個(gè)隱秘國家開發(fā)和運(yùn)營IT安全產(chǎn)品的可靠性和動(dòng)機(jī)的質(zhì)疑。

雖然網(wǎng)絡(luò)安全工作一直都是一項(xiàng)非常艱巨的任務(wù)，Check point 的調(diào)查結(jié)果發(fā)現(xiàn)了很多問題。顯然，SiliVaccine的開發(fā)者和支持者的目的才是真正可疑的。

趨勢科技的回應(yīng)

在發(fā)現(xiàn)這樣的問題之后，Check Point 聯(lián)系趨勢科技了解其在SiliVaccine中使用的檢測引擎。很快便有了如下回應(yīng)：

趨勢科技了解到Check Point對’SiliVaccine’朝鮮殺毒軟件的研究，Check Point向我們提供了一份用于驗(yàn)證的軟件副本。盡管我們無法確認(rèn)該副本的來源或真實(shí)性，但它顯然已合并由各種產(chǎn)品使用的廣泛分布的趨勢科技掃描引擎的10年以上版本的模塊。然而，趨勢科技從未在朝鮮或與朝鮮做過生意。我們相信，這些模塊的任何此類使用都完全沒有許可且是非法的，美國服務(wù)器租用，我們也沒有看到證據(jù)顯示涉及源代碼。流出的這個(gè)掃描引擎版本相當(dāng)陳舊，多年來已通過各種OEM交易廣泛納入趨勢科技和第三方安全產(chǎn)品的商業(yè)產(chǎn)品中，所以SiliVaccine的開發(fā)者獲得這些內(nèi)容的具體手段我們并不清楚。趨勢科技對軟件盜版采取強(qiáng)烈反對立場，但在這種情況下，法律追索權(quán)不會(huì)有成效。同時(shí)，我們不認(rèn)為涉嫌侵權(quán)的這些用途會(huì)給我們的客戶帶來任何重大風(fēng)險(xiǎn)。

趨勢科技指出，被廣泛許可的被盜用可能是SiliVaccine使用他們的十年前版本掃描引擎的后盾，我們的團(tuán)隊(duì)還對使用舊版的SiliVaccine進(jìn)行了額外分析，結(jié)果表明這樣的事情并不是第一次發(fā)生。