Certa vez, a equipe de pesquisadores do Check Point recebeu uma mensagem de um jornalista da Bloomberg, chamado Martyn Williams, sobre uma cópia de um antivírus norte-coreano enviado supostamente do Japão. Como os softwares norte-coreanos não são encontrados com facilidade, a oportunidade de entrar em contato com a ferramenta antivírus logo causou comoção nos especialistas Mark Lechtik e Michael Kaji-loti, que apresentaram os resultados desse estudo no congresso de hackers da 35C3.
Especialistas fazem descobertas interessantes ao examinarem o código do antivírus norte-coreano SiliVaccine
Antes de discutirmos o antivírus norte-coreano, precisamos falar brevemente sobre a relação entre a Coreia do Norte e a Internet.
O papel da Coreia do Norte no desenvolvimento da rede global
Atribuição – elaborar uma alegação justificando que um grupo específico, de um determinado país, realizou uma tentativa de um certo ataque – trata-se de algo completamente impreciso. Às vezes, seguir o caminho errado é mais fácil que interpretar evidências e assim por diante. No entanto, em algum momento, inúmeros grupos de pesquisa atribuíram, de forma conjunta, ataques à Coreia do Norte. Especula-se também que esse país utiliza grupos de hackers com o apoio do Estado, os quais em contrapartida arrecadam dinheiro em prol do regime político. É claro que os oficiais da República Popular Democrática da Coreia (RPDC) negam essas informações.
Como o antivírus norte-coreano SiliVaccine foi parar nas mãos dos pesquisadores
Dito isso, é importante ressaltar que o acesso à Internet é praticamente inexistente na Coreia do Norte. A Rede pode ser acessada apenas por alguns poucos escolhidos, enquanto a maior parte da população está restrita à intranet doméstica, chamada Kwangmyong: uma rede livre das impurezas das informações do “Ocidente decadente”.
O antivírus coreano-japonês
A pergunta a se fazer é: por que a Coreia do Norte, que não possui acesso à Internet, quer um antivírus? O primeiro motivo seria para proteger o país contra vírus contrabandeados em cartões de memória, que podem conter artigos ocidentais, como séries de TV sul-coreanas e outras informações não disponíveis oficialmente no país.
Surpreendentemente, o contrabando de cartões de memória é muito difundido nessa região. O segundo motivo, menos óbvio, sugere que a Coreia do Norte pretende comercializar o antivírus internacionalmente – já que pelo menos uma das versões inclui uma interface em inglês.
A segunda pergunta, não menos lógica, é: como a Coréia do Norte, conseguiria desenvolver um software antivírus próprio? Um produto com esse grau de sofisticação é bastante difícil de criar a partir do zero, especialmente com recursos limitados. Ao abordar essa questão, os especialistas do Check Point chegaram a uma conclusão interessante: a versão de 2013 do antivírus coreano (que foi analisada) utilizava um mecanismo popular de solução antivírus da Trend Micro, desenvolvido em 2008.
Os desenvolvedores coreanos não estavam dispostos a deixar ninguém interferir no código do produto e muitos de seus componentes, por isso, foram protegidos por meio do Themida – um programa wrapper projetado para impedir engenharia reversa. No entanto, os responsáveis pela vedação de componentes do SiliVaccine negligenciaram o uso de grande parte do impressionante kit de ferramentas do Themida e, em consequência disso, a equipe do Check Point conseguiu acessar o código do programa.
Cerca de um quarto do código SiliVaccine corresponde totalmente aos elementos do código antivírus da Trend Micro, com algumas funções ligeiramente modificadas. Sendo assim, a equipe de pesquisa questionou a empresa sobre como a Coreia do Norte obteve acesso ao código fonte de um produto antivírus desenvolvido no Japão. A Trend Micro alegou não saber como a Coreia do Norte adquiriu o programa, mas disse acreditar que foi de forma ilegal. Também mencionaram que poderia ter sido usado por parceiros de negócios, os quais estariam comercializando soluções de proteção por meio de marcas próprias. Isso nos dá pelo menos uma pista de como o código-fonte poderia ter caído nas mãos dos programadores norte-coreanos.
Resposta oficial da Trend Micro sugere que os norte-coreanos pegaram suas ferramentas de antivírus emprestadas
Os norte-coreanos estavam claramente tentando esconder o fato de que o SiliVaccine era baseado no programa da Trend Micro, por isso adicionaram alguns adereços e recursos adicionais supérfluos. Assim, à primeira vista, parecia que esses dois antivírus utilizavam processos totalmente diferentes para assinaturas de vírus: a Trend Micro utilizava apenas um arquivo de assinatura, enquanto a SiliVaccine fazia uso de 20. Porém, assim que o programa era inicializado todos esses arquivos se fundiam em um. Quanto às próprias assinaturas, elas suspeitosamente se assemelham àquelas usadas pela Trend Micro: por exemplo, se a Trend usava uma assinatura TROJ_STEAL-1 para certos malware, a SiliVaccine usava Trj.Steal.B. Eles apenas alteravam letras, substituíam traços e sublinhados por pontos finais, adicionando pequenas alterações.
Ao longo da investigação sobre o antivírus norte-coreano, a equipe de pesquisa relatou muitos erros e esquisitices. Como por exemplo, um programa que apresenta um componente supostamente destinado a rastrear um arquivo de vírus em que o usuário deve clicar no File Explorer com o botão direito do mouse e depois selecionar a opção apropriada do menu. Acontece que o menu até possui essa opção, mas clicar nele não leva a lugar algum.
Mais uma curiosidade: o antivírus vem com um driver que coleta informações sobre conexões de rede e… não faz nada com esses dados. Em teoria, o driver deveria ser acessado por alguns outros arquivos, mas nenhum outro arquivo SiliVaccine jamais o utilizou.
Alguns componentes foram criptografados com o BopCrypt – ferramenta de vedação popular utilizada pela comunidade da Internet de língua russa há cerca de 15 anos. Na maioria, os componentes consistem de códigos de lixo eletrônico. A impressão era de que a principal função de alguns arquivos era apenas estimular a perda de tempo… fazendo nada. Além disso, os pesquisadores desenvolveram uma hipótese de que os autores de pelo menos alguns componentes do SiliVaccine haviam tentado aplicar engenharia reversa, mas falharam ao não descobrirem exatamente como o código funcionava.
Além disso, ficou evidente que as pessoas que desenvolviam diferentes partes do código não eram muito boas em trabalhar em equipe. Por exemplo, um arquivo deve acionar uma função de outro, com um parâmetro que é definido para um determinado valor, enquanto o segundo arquivo é especificamente programado para não fazer nada caso esse valor seja ativado.
Considerações à parte, o SiliVaccine norte-coreano acabou por se tornar uma versão retorcida e com muitos bugs do antivírus da Trend Micro.
Pode ser considerado malware?
Qualquer pessoa que esteja familiarizada com a política externa de Internet da RPDC deve perguntar-se: E se for realmente um cavalo de Tróia? E se este produto foi feito para implantar malware ou algo do tipo? O Check Point tem uma resposta para isso também.
Novamente, suas descobertas foram muito interessantes. O antivírus SiliVaccine parece estar limpo. Nenhum vestígio de malware foi encontrado. No entanto, os arquivos EXE mencionam uma assinatura que o mecanismo deve ignorar. Se um arquivo digitalizado for infectado por um malware dessa assinatura, o SiliVaccine simplesmente o deixará viver.
SiliVaccine ignora arquivos de malware com assinatura específica
Certamente, os pesquisadores estavam curiosos para saber exatamente qual parte do malware era aquela, por isso, tentaram realizar uma verificação cruzada da assinatura da base do vírus SiliVaccine com a assinatura correspondente da base da Trend Micro. Mas acabou por se tornar uma assinatura heurística, dada a todos os arquivos que demonstram um comportamento específico. Com isso, não foi possível descobrir exatamente qual arquivo de malware o antivírus norte-coreano estava programado para ignorar. Porém, os especialistas descobriram que os desenvolvedores do SiliVaccine tinham, em determinado momento, feito um erro de impressão e colocado na lista de permissões uma assinatura inválida.
Embora o instalador do SiliVaccine não fosse malicioso, o e-mail recebido pelo jornalista da Bloomberg, enviado por um desconhecido que estava supostamente no Japão, também continha outro arquivo. Seu nome sugeria que tratava-se de uma atualização para SiliVaccine, enquanto seus metadados afirmavam que estava relacionado às atualizações automáticas da Microsoft.
O arquivo recebido pelo jornalista da Bloomberg também continha malware conectado ao DarkHotel APT
Os pesquisadores do Check Point analisaram esse arquivo para descobrir que tratava-se de um malware chamado Jaku, descrito pela primeira vez pela Forcepoint em 2016. De acordo com as explicações fornecidas pela Forcepoint em seu estudo, o Jaku foi usado contra indivíduos ligados, de uma forma ou de outra, à Coreia do Norte, além disso estava claramente ligado ao DarkHotel – um grupo de língua coreana cujas atividades foram abordadas em um estudo que publicamos em 2014.
Martyn Williams – o jornalista da Bloomberg que recebeu a carta contendo SiliVaccine – escreve frequentemente sobre a Coreia do Norte, logo os pesquisadores presumiram que todo o esquema envolvendo o e-mail com o antivírus em um anexo, poderia ter sido um ataque direcionado contra ele; seu trabalho dificilmente é apreciado pelos líderes da RPDC. Quanto ao SiliVaccine, parece ser um produto antivírus real, provavelmente usado na Coreia do Norte – por falta de melhores opções.
Quem Somos ?
A Dereco Tecnologia oferece as melhores soluções de cybersegurança para empresas. Representamos a KASPERSKY LAB, um fornecedor de segurança global que opera em 200 países.
.
cabeamento estruturado
servidor de arquivos
compartilhamento de arquivos
dominio de rede
domínio de rede
windows server 2016
kaspersky
antivirus corporativo
bitdefender
monitoramento de ativos
redes de computadores
manutenção de rede
suporte à computadores e servidores
servidores de rede
virtualização de computadores
virtualização de servidores
virtualização de aplicações
virtualização de desktops
software de gestão de ativos
service desk
helpdesk em osasco
suporte técnico informática
manutenção de computadores
manutenção de servidores
manutenção de notebooks
suporte técnico ti
consultoria de informática
consultoria em informática
controle de acesso internet
bloqueio de acesso internet
bloqueio de softwares
licenciamento de softwares
empresas de segurança da informação sp
empresas de segurança de informação
segurança da informação pentest
empresas de terceirização de ti
Terceirização de informática em Osasco
Terceirização de suporte técnico em Osasco
Terceirização de TI em Osasco
Terceirização de ti em Osasco
Suporte técnico para empresas em Osasco.
Consultoria de ti em Osasco
Infraestrutura de ti em Osasco
Redes de computadores em Osasco
Terceirização de ti em Osasco
Suporte técnico em ti em Osasco
Suporte técnico de TI em Osasco
Suporte técnico de em informática em Osasco
Suporte técnico de computadores em Osasco
Suporte técnico de computador em Osasco
Suporte técnico em informática em osasco
Suporte técnico em informatica
contrato de manutenção e suporte técnico
contrato de suporte tecnico de software
contrato de suporte tecnico em informatica
contrato de suporte tecnico ti
contrato de suporte técnico
contrato de suporte técnico informatica
contrato de suporte técnico remoto
contrato suporte tecnico
contrato suporte tecnico informatica
contrato suporte técnico
suporte técnico para contrato Dereco Tecnologia
empresa de suporte técnico em informática
empresas de suporte remoto
empresas de suporte tecnico
empresas de suporte tecnico em informatica
empresas de suporte tecnico em informatica sp
empresas de suporte tecnico em sp
empresas de suporte ti
empresas de suporte técnico
suporte tecnico de informatica para empresas
empresa de informatica sp
empresa de informática
empresa informatica brasil
empresa informatica guarulhos
empresa informatica sp
empresa manutenção informatica
empresa suporte informatica
empresa tecnologia informatica
empresa terceirizada informatica
empresa auditoria informatica
empresa de informatica sp
empresa de informática
empresa informatica sp
empresa manutenção informatica
empresa suporte informatica
empresa tecnologia informatica
empresa terceirizada informatica
informatica para empresa
informatica para empresarios
informatica para empresas
informática empresas
analista de infraestrutura de redes
equipamentos para infraestrutura de redes
analista de suporte técnico
analista de suporte técnico salario
d-link suporte técnico
hp suporte técnico
suporte tecnico 1 nivel
suporte tecnico a distancia
suporte tecnico a domicilio
suporte tecnico a internet
suporte tecnico java
suporte tecnico osasco
suporte tecnico ubiquiti
suporte tecnico ubiquiti brasil
suporte tecnico webmail
suporte tecnico windows 7
suporte tecnico windows 8
suporte técnico
suporte técnico 1
suporte técnico 24x7
suporte técnico a usuários
suporte técnico da microsoft
suporte técnico dell
suporte técnico em informática
suporte técnico em informática instalação configuração e manutenção de programas
suporte técnico em ti
suporte técnico help desk
suporte técnico kaspersky
suporte técnico lenovo
suporte técnico lenovo
suporte técnico manutenção e outros serviços em tecnologia da informação
suporte técnico notebook hp
suporte técnico nível 2
suporte técnico online
suporte técnico online dell
suporte técnico outlook
suporte técnico rede
suporte técnico t.i
suporte técnico ti
suporte técnico whatsapp
suporte técnico windows
suporte técnico windows 8
suporte técnico windows 10
windows 7 suporte técnico
Suporte técnico para empresas em Osasco.
Consultoria de ti em Osasco
Suporte técnico Windows server 2008 r2
Suporte técnico Windows server 2012
Suporte técnico Windows server 2012 r2
Suporte técnico Windows server 2016
Infraestrutura de ti em Osasco
Redes de computadores em Osasco
Cabeamento estruturado Osasco
Cabeamento estruturado São Paulo
Cabeamento estruturado
Terceirização de ti em Osasco
Suporte técnico em ti em Osasco
Suporte técnico de TI em Osasco
Suporte técnico de em informática em Osasco
Suporte técnico de computadores em Osasco
Suporte técnico de computador em Osasco
Suporte técnico em informática em osasco
Suporte técnico em informatica
contrato de manutenção e suporte técnico
contrato de suporte tecnico de software
contrato de suporte tecnico em informatica
contrato de suporte tecnico ti
contrato de suporte técnico
contrato de suporte técnico informatica
contrato de suporte técnico remoto
contrato suporte tecnico
contrato suporte tecnico informatica
contrato suporte técnico
suporte técnico para contrato Dereco Tecnologia
empresa de suporte técnico em informática
empresas de suporte remoto
empresas de suporte tecnico
empresas de suporte tecnico em informatica
empresas de suporte tecnico em informatica sp
empresas de suporte tecnico em sp
empresas de suporte ti
empresas de suporte técnico
suporte tecnico de informatica para empresas
empresa de informatica sp
Dropbox Bussines implantação
Dropbox Bussines integração Ad
Dropbox Bussines SSO
Backup de notebooks e desktops empresariais
Backup de servidores na nuvem
Cloud Backup de servidores
Backblaze backup
Revenda autorizada Bitdefender
Revenda autorizada Kaspersky
Revenda autorizada Backblaze
Revenda autorizada Dropbox Bussines
Revenda autorizada TrendMicro
Suporte técnico para empresas
Suporte técnico para contabilidades
Suporte técnico para escritórios jurídicos
Suporte técnico para pequenas e médias empresas Osasco
empresas de suporte técnico
empresas de suporte técnico em informá
https://dereco.com.br/bitdefender
https://dereco.com.br/blog
https://dereco.com.br/k
Comentários
Postar um comentário