顯示廣告
隱藏 ✕
※ 本文轉寄自 ptt.cc 更新時間: 2018-05-15 09:12:19
看板 Gossiping
作者 MAGPUL (magpul gun)
標題 [新聞] 北韓防毒軟體含病毒!鎖定日本、南韓記
時間 Mon May 14 23:53:56 2018


1.媒體來源:
※ 例如蘋果日報、奇摩新聞

新頭殼
2.完整新聞標題:
※ 標題沒有寫出來 ---> 依照板規刪除文章
北韓防毒軟體含病毒! 鎖定日本、南韓記者下手

3.完整新聞內文:
※ 社論特稿都不能貼! 違者刪除(政治類水桶3個月),貼廣告也會被刪除喔!


防毒軟體是用來保護個人裝置不受到惡意程式的侵擾,但如果軟體本身就含有惡意程式那便又是另外一回事了。今(14)日資安廠商「Check Point」揭露了北韓本土的反防毒軟體「SiliVaccine」內含有惡意軟體,並針對南韓與日本的更多特定受害者,包含國際非政府組織 (NGO) 成員、工程公司人員、學者、科學家和公務員進行攻擊。


在一項獨家研究中,資安廠商「Check Point」的研究人員針對北韓本土的反防毒軟體SiliVaccine進行了一項揭露調查。其中一個有趣的發現是SiliVaccine程式碼的關鍵元件抄襲了日本公司趨勢科技10多年前的軟體元件。

這項調查始於Check Point的研究團隊收到了北韓科技線自由記者Martyn Williams寄來的一份極為罕見的北韓「SiliVaccine」防毒軟體樣本。Williams先生在2014年7月8日收到一封署名為Kang Yong Hak寄來的一封可疑電子郵件,內含此防毒軟體的連結。而之後,此寄件人的信箱隨即遭停用。

據悉是日本工程師的Kang Yong Hak所寄的可疑電子郵件內文包含一個放在Dropbox上的zip檔案連結,內含SiliVaccine軟體副本、介紹如何使用軟體的韓文讀我檔案,以及一個貌似SiliVaccine更新修補程式的可疑檔案。

在對SiliVaccine的引擎檔案 (提供防毒軟體核心掃描功能的軟體組件) 進行了詳細的鑑識分析之後,Check Point的研究團隊發現SiliVaccine和趨勢科技10多年前開發的防毒引擎程式碼有一大部分完全相同。建立SiliVaccine的開發人員勢必得取得趨勢科技任何已上市產品的編譯程式庫,或理論上來說必須取得原始程式碼,才會發生這件事。

一般來說,防毒軟體的目的在於阻絕所有已知的惡意軟體特徵碼。但是,當深入調查SiliVaccine後發現,其因為設計上略過了一個特定的特徵碼,一般來說它會被封鎖,且會被趨勢科技的偵測引擎封鎖。雖然目前尚不清楚這個特徵碼的本質,但可以知道的是北韓當局並不想就此警示使用者。對於這個貌似修補更新程式的檔案,研究人員發現它是個JAKU惡意軟體。這個檔案不一定是防毒軟體的一部分,但被包含在zip檔案中以鎖定像Williams先生這類的記者人士。

簡單來說,JAKU是一個組成惡意軟體的高彈性殭屍網路,主要透過惡意BitTorrent檔案共用來傳播,並已感染了約19,000名受害者。經發現,這個殭屍網路已經鎖定和追蹤位於南韓與日本的更多特定受害者,包含記者、國際非政府組織 (NGO) 成員、工程公司人員、學者、科學家和公務員。

Check Point的調查發現,雖然JAKU檔案經過發給Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd的憑證簽署,但這家公司過去也簽署過另一個臭名昭著的APT集團Dark Hotel的檔案。JAKU和Dark Hotel皆被視為是北韓的威脅者所建立。

日本和北韓間的政治和外交關係並不十分友好,但包含SiliVaccine副本的原始電子郵件卻由日本人寄出,這點令人感到懷疑。然而,這種不可能發生的事情還沒有結束,因Check Point的研究人員又發現了與日本的其他關聯。

在調查過程中,Check Point發現被認為是撰寫SiliVaccine的公司名稱,PGI (平壤光明資訊科技公司) 和 STS Tech-Service。STS Tech-Service據悉已和其他公司合作,包含「Silver Star」和「Magnolia」,這兩家都是日本公司,且之前都與北韓政府單位KCC (北韓電腦中心) 有合作經驗。

當Check Point的團隊通知趨勢科技其偵測引擎遭到SiliVaccine盜用後,趨勢科技立即做出回應並展現高度配合:「趨勢科技獲知Check Point對北韓防毒產品『SiliVaccine』的研究結果,而Check
Point已提供我方此軟體副本以進行驗證。雖然我方無法確認副本的來源或真實性,但它採用模組確實以趨勢科技10多年前在許多產品中廣泛使用的掃描引擎為基礎。趨勢科技從未在北韓或與北韓之間有業務往來。我方相信,將此模組用在任何用途完全未經過授權且是非法的,但我方也未看到證據顯示當中涉及原始程式碼。該掃描引擎版本相當老舊,多年來已經透過各種OEM交易被廣泛整合到趨勢科技和第三方安全產品的上市產品中,因此SiliVaccine的建立者可能取得此掃描引擎版本的具體方法目前尚未可知。趨勢科技對軟體盜版行為採取強烈立場,然而為此案例訴諸法律
痕G將收獲有限。我方不認為侵權使用問題會為我們的客戶帶來任何重大風險。」

跡象顯示,趨勢科技廣泛授權的程式庫乃因SiliVaccine使用了其10多年前的掃描引擎而遭到誤用,而在Check Point團隊針對舊版SiliVaccine軟體進行額外分析之後也確認了這項事實。這表明這不是一次性事件。這次對SiliVaccine的揭露研究可能會引起大眾對此北韓的IT安全產品和運作的真實性和動機產生懷疑。

雖然歸因在網路安全中一直是一項艱鉅的任務,但Check Point的研究結果提出了許多問題。不過毋庸置疑的是,SiliVaccine的建立者存有陰險行徑和可疑企圖。
4.完整新聞連結 (或短網址):
※ 當新聞連結過長時,需提供短網址方便網友點擊

http://newtalk.tw/news/view/2018-05-14/124257
北韓防毒軟體含病毒! 鎖定日本、南韓記者下手 | 國際 | 新頭殼 Newtalk 防毒軟體是用來保護個人裝置不受到惡意程式的侵擾,但如果軟體本身就含有惡意程式那便又是另外一回事了。今(14)日資安廠商「Check Point」揭露了北韓本土的反防毒軟體「SiliVaccine」內含有惡意軟體,並針對南韓與日本的更多特定受害者,包含國際非政府組織 (NGO) 成員、工程公司人員、學 ...

 
5.備註:
※ 一個人一天只能張貼一則新聞,被刪或自刪也算額度內超貼者水桶,請注意

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.72.80.201
※ 文章代碼(AID): #1Q-R4Nrr (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1526313239.A.D75.html
qazsedcft 
qazsedcft: (づ′・ω・)づ 樓下中毒1F 05/14 23:54
bonfferoni: 五樓申裝ADSL2F 05/14 23:54
tim9527: 北韓有電腦 = =?3F 05/14 23:54
nayaya: 五樓社會病毒4F 05/14 23:54
gfhnrtjpoiuy: 金山卫士:5F 05/14 23:54
nayaya: ㄅ歉 五樓帥哥6F 05/14 23:55
andy70612: 衛視3607F 05/14 23:55
a94037501: 我都用金山毒霸hao1238F 05/14 23:55
lolucky531: 360表示:9F 05/14 23:56
joumay: 日韓 要去用到北韓的防毒軟體...  被駭怪偶咧???10F 05/14 23:57
yesonline: 趨勢科技.......  台(日)朝鮮友好11F 05/14 23:57
davidoct12: 啊不是和好了嗎12F 05/15 00:00
agjason19: 正恩.avi13F 05/15 00:08
zxcvbnm00316: 煉蠱皿沒在怕的14F 05/15 00:09
aq981334: 趨勢科技原來是日本的,怎麼上課老師都說趨勢科技是台15F 05/15 00:20
aq981334: 灣的
wagwag: 日本分公司17F 05/15 00:25
opengaydoor: 總部在日本 全球研發總部在台灣18F 05/15 00:27
shiyo729: 這有盲點啊  誰會用北韓的防毒軟體19F 05/15 00:37
yuki77: 我的網頁早就被綁了 誰跟你病毒 426才病毒20F 05/15 00:37
ccjj8: 還好我都用金山毒霸21F 05/15 00:54
id888: 趨勢是日本公司、日本上市、總部日本。台灣就是宅宅研發中22F 05/15 06:44
id888: 心
max60209: 中國表示:24F 05/15 08:29
wiisonjacky: 幸好我都用hoa12325F 05/15 08:46
wiisonjacky: hao123啦幹

--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 23 
作者 MAGPUL 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇