SiliVaccine: Nordkoreas AV-Software nutzt alten Trend-Micro-Code
Forscher von Check Point haben Nordkoreas staatlich verordneten Virenwächter untersucht und dabei einige interessante Entdeckungen gemacht.
(Bild: Check Point)
Nordkoreas offizielle Anti-Viren-Software "SiliVaccine" nutzt veralteten Programmcode des japanischen Herstellers Trend Micro, enthält eine Malware-Whitelist und hat obendrein auch noch einen gefährlichen Schädling an Bord. Zu diesen und weiteren Erkenntnissen gelangten Mitarbeiter des Sicherheitssoftware-Herstellers Check Point im Rahmen einer detaillierten Code-Analyse.
Die Software erhielten sie von einem Journalisten, dem diese wiederum via E-Mail von einem ihm unbekannten Absender zugespielt worden war. Verpackt in einem Archiv befand sich neben SiliVaccine auch ein vermeintlicher Software-Patch jüngeren Datums, der sich auf den zweiten Blick als eine Malware namens "JAKU" entpuppte. Die bildet Botnetze und öffnet eine Backdoor auf infizierten Rechnern; Check Point mutmaßt deshalb, dass es sich hierbei auch um eine Falle für besagten Journalisten gehandelt haben könnte.
10 Jahre alter Trend-Micro-Code
Code-Vergleiche zwischen SiliVaccines Scan-Engine und der Engine von Trend Micro ergaben – teils 100-prozentige – Übereinstimmungen. Auf Nachfrage von Check Point bestätigte Trend Micro, dass es sich wohl um eine mindestens zehn Jahre alte (abgewandelte) Kopie seines Codes handele. Das Unternehmen unterstrich außerdem, dass die Verwendung in SiliVaccine ohne sein Wissen oder Zustimmung geschehen sei. Rechtliche Schritte will es aber nicht einleiten, da der Code-Klau für die eigenen Kunden keine "materiellen Risiken" berge.
Wohl um den Diebstahl zu verschleiern, wandelt SiliVaccine die von TrendMicro bei der Erkennung genutzten Namensgebung in eigene um. So werden beispielsweise aus "PE", "WORM" und "TROJ" die Präfixe "W32", "Wrm" und "Trj".
Signatur-Zensur inklusive
(Bild: Check Point)
Die Softwarearchitektur des Virenwächters beschreibt Check Point als "ziemlich klassisch" – mit dem Unterschied, dass die Signatur-Updates direkt aus dem Intranet der nordkoreanischen Regierung stammen.
Und die selektiert wohl gern ein wenig vor: Die Forscher entdeckten im SiliVaccine-Code eine hardgecodete Whitelist, die die Erkennung einer bestimmten (von Trend Micro im Originalcode vordefinierten) Signatur vollständig unterbindet. Da es sich hier um eine generische Erkennung handelt, die ganz unterschiedliche Malware-Samples beinhaltet, konnten die Forscher Sinn und Zweck des Whitelistings nicht feststellen. Theoretisch ermöglicht es jedenfalls das gezielte Einschleusen von Schadcode, der (unabhängig von jeglichen Signatur-Updates) dauerhaft unbemerkt bleiben könnte.
Lang, komplex, verwirrend
Vor dem nordkoreanischen Endanwender verbirgt sich diese Form der staatlichen Kontrolle unter einer grafischen Oberfläche, die ihm immerhin die Freiheit gewährt, neben Echtzeit- auch getimete Scans beliebiger Ordner durchzuführen.
(Bild: Check Point)
Check Points Gesamteinschätzung der Code-Qualität kommt in folgendem Zitat gut zum Ausdruck:
"The matching functionality on SVFilter’s side is buried deep inside a long and confusing function. After analyzing that function, it becomes evident that it is rather needlessly long and complex, and underneath it all, it simply performs the functionalities described above in a disorganized and confusing way." (ovw)
