SiliVaccine：北朝鮮のアンチウイルス製品 の詳細分析が公開される

【悲報】トレンドマイクロ、北朝鮮に技術提供してた証拠が出てきてしまいごまかす羽目に
以前書いた記事の続報が来ました

SiliVaccine：北朝鮮のアンチウイルス製品 | カスペルスキー公式ブログ
北朝鮮製アンチウイルス・ソフトウェア「SiliVaccine」の詳細分析 - Check Point Blog | チェック・ポイント・ソフトウェア・テクノロジーズ
・SiliVaccineには、JAKUマルウェアが含まれて居た。
・SiliVaccineの署名には北朝鮮のAPT攻撃集団が使う署名が使われていた
・北朝鮮の「Dark Hotel」という著名なAPT攻撃グループが指令を出していた感染コンピューターには大量のトレンドマイクロが所有するIPアドレスのものが含まれていた。（つまり、トレンドマイクロは 社内のコンピュータがハッキングされて乗っ取られても気付かないような企業である可能性）
・SiliVaccineの開発元と見られる企業の中に、PGI（Pyonyang Gwangmyong Information Technology）とSTS Tech-Serviceという名前があり、過去には、「Silver Star」や「Magnolia」など、日本に拠点を置く企業と協働していた
・34個のシグネチャファイルをマージして使う
・SiliVaccineがインストールするファイルの中に、アンインストールのためのユーティリティは含まれていないにもかかわらず、アンインストールとコンポーネントの消去処理がある。
・シェル拡張コンポーネントがあるが機能しない
・コンポーネントの一部は、Themida 2.xとUnopix 0.94で保護されていたが、コードのほとんどは仮想化されておらず、保護機能もごく一部しか使用されていなかった
・トレンドマイクロが開発したファイル・スキャン・エンジンである vsapi32.dll とほぼ同じ機能と1691個の全く同じ関数を持つファイルが見つかった
・2013年にリリースされた SiliVaccineのトレンドマイクロのエンジンは、バージョン8.910-1002であると推測され、オリジナルのエンジンは 2008年8月にリリースされていることが判明している。
・トレンドマイクロは、CheckPointからの問い合わせについて「北朝鮮製アンチウイルス製品『SiliVaccine』には Trend Micro VSAPI検査エンジンの10年以上前のバージョンを元にしたモジュールが組み込まれていると考えられている」と2018年5月に回答したが、実際は10年まだ経っていないバージョンだった。誤差範囲だと平気で嘘をつく
・トレンドマイクロは「弊社技術の使用は、完全に無許可で行われていると確信していて、どのような手段でこの技術を入手したのかは定かではありません」と言ってるが、先ほどのハッキング情報から、トレンドマイクロ社に侵入された形跡があるにもかかわらず、調査の姿勢すら見せず、侵入されたことすら無かったことにしようとしている。
・パターンファイルは 「voxjsdkaghghk」と言うフレーズで暗号化されているが、これを韓国のキーボードで入力すると 「패턴 암호화（Pattern Encryption）」になる
・区切り文字「-」、「_」、「.」を切れ目にして、パターン・ファイルの検出名を分割
・トレンドマイクロの検出名の８つの接頭辞や、0-9 を A-Jに置換している
・MAL_NUCRP-5 と言うシグネチャに所属するヒューリスティックシグネチャを無効化しており、さらに、Mal.Nucrp.F と言う検出名のウイルスを無視する処理が組み込まれている
・13あるドライバ機能のうち3つしか使われていない
・前述した、日本に拠点を置く企業だと思われていた、ソースネクストが販売した、アイアンセキュリティなどを開発したSilver Star Japan は実は北朝鮮の企業であることが分かった
・起動前に無駄なチェック処理をしている事が判明した。（いや、むしろ、元のウイルスバスターがこうだったのでは？）
要約するとこんな感じですがいやはや面白いですね ・ω・