SiliVaccine: Nordkoreas AV-Software nutzt alten Trend-Micro-Code

Forscher von Check Point haben Nordkoreas staatlich verordneten Virenwächter untersucht und dabei einige interessante Entdeckungen gemacht.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 44 Beiträge
SiliVaccine: Nordkoreas AV-Software ist ein veralteter Trend-Micro-Klon

(Bild: Check Point)

Von
  • Olivia von Westernhagen

Nordkoreas offizielle Anti-Viren-Software "SiliVaccine" nutzt veralteten Programmcode des japanischen Herstellers Trend Micro, enthält eine Malware-Whitelist und hat obendrein auch noch einen gefährlichen Schädling an Bord. Zu diesen und weiteren Erkenntnissen gelangten Mitarbeiter des Sicherheitssoftware-Herstellers Check Point im Rahmen einer detaillierten Code-Analyse.

Die Software erhielten sie von einem Journalisten, dem diese wiederum via E-Mail von einem ihm unbekannten Absender zugespielt worden war. Verpackt in einem Archiv befand sich neben SiliVaccine auch ein vermeintlicher Software-Patch jüngeren Datums, der sich auf den zweiten Blick als eine Malware namens "JAKU" entpuppte. Die bildet Botnetze und öffnet eine Backdoor auf infizierten Rechnern; Check Point mutmaßt deshalb, dass es sich hierbei auch um eine Falle für besagten Journalisten gehandelt haben könnte.

Code-Vergleiche zwischen SiliVaccines Scan-Engine und der Engine von Trend Micro ergaben – teils 100-prozentige – Übereinstimmungen. Auf Nachfrage von Check Point bestätigte Trend Micro, dass es sich wohl um eine mindestens zehn Jahre alte (abgewandelte) Kopie seines Codes handele. Das Unternehmen unterstrich außerdem, dass die Verwendung in SiliVaccine ohne sein Wissen oder Zustimmung geschehen sei. Rechtliche Schritte will es aber nicht einleiten, da der Code-Klau für die eigenen Kunden keine "materiellen Risiken" berge.

Wohl um den Diebstahl zu verschleiern, wandelt SiliVaccine die von TrendMicro bei der Erkennung genutzten Namensgebung in eigene um. So werden beispielsweise aus "PE", "WORM" und "TROJ" die Präfixe "W32", "Wrm" und "Trj".

SiliVaccines Architektur lehnt sich an ähnliche Produkte an – nur die Signaturen kommen vom Staat.

(Bild: Check Point)

Die Softwarearchitektur des Virenwächters beschreibt Check Point als "ziemlich klassisch" – mit dem Unterschied, dass die Signatur-Updates direkt aus dem Intranet der nordkoreanischen Regierung stammen.

Und die selektiert wohl gern ein wenig vor: Die Forscher entdeckten im SiliVaccine-Code eine hardgecodete Whitelist, die die Erkennung einer bestimmten (von Trend Micro im Originalcode vordefinierten) Signatur vollständig unterbindet. Da es sich hier um eine generische Erkennung handelt, die ganz unterschiedliche Malware-Samples beinhaltet, konnten die Forscher Sinn und Zweck des Whitelistings nicht feststellen. Theoretisch ermöglicht es jedenfalls das gezielte Einschleusen von Schadcode, der (unabhängig von jeglichen Signatur-Updates) dauerhaft unbemerkt bleiben könnte.

Vor dem nordkoreanischen Endanwender verbirgt sich diese Form der staatlichen Kontrolle unter einer grafischen Oberfläche, die ihm immerhin die Freiheit gewährt, neben Echtzeit- auch getimete Scans beliebiger Ordner durchzuführen.

Irgendwie ganz schick: SiliVaccines GUI.

(Bild: Check Point)

Check Points Gesamteinschätzung der Code-Qualität kommt in folgendem Zitat gut zum Ausdruck:

"The matching functionality on SVFilter’s side is buried deep inside a long and confusing function. After analyzing that function, it becomes evident that it is rather needlessly long and complex, and underneath it all, it simply performs the functionalities described above in a disorganized and confusing way." (ovw)