朝鲜自研杀软外泄:采用十年前趋势科技盗版引擎

Check Point的研究人员在对朝鲜本土杀软SiliVaccine进行调查时，发现该杀软代码中的一个关键组成部分使用的是趋势科技的软件组建10年前的历史版本。

一、朝鲜杀软采用趋势科技历史组件

2014年7月8日时，一位专注于朝鲜技术的自由记者收到了一封自称日本工程师的可疑邮件，通过邮件中的链接，研究人员找到了Dropbox里的一个zip文件。

而在这份zip文件中包含有一份朝鲜自主研发的SiliVaccine杀毒软件的副本，还有一份韩文的自述文件来指导文件应该如何使用。

在对这份SiliVaccine的引擎文件进行详细的取证分析后，Check Point的研究团队发现该引擎文件和趋势科技的大型反病毒引擎代码居然可以完全匹配，但该引擎文件的作者对这种完全匹配进行了隐藏处理。

而事实上我们都知道，趋势科技本身是一家成立于美国加州、总部位于日本东京和美国鬼硅谷的网络安全解决方案提供商，并且，日本和朝鲜并没有任何正式的外交关或正式关系！

二、SiliVanccine捆绑有恶意软件

同时安全研究人员还在SiliVanccine的更新补丁中发现了一份JAKU恶意程序，尽管这并不能算是反病毒的一部分，但该恶意程序却是专门用来针对上述笔者提到的自由记者的。

简单来说，JAKU恶意程序是一个高度复原僵尸网络构成的恶意软件，主要通过恶意BT种子传播，被视为是针对和追踪韩国和日本的特定受害者，其中包括NGO成员、学者、科学家和政府雇员。

值得注意的是，这款恶意程序使用的签名证书曾被APT组织成员使用，而这一组织成员和JAKU恶意程序都曾被认为是朝鲜黑客的。

而且，最让人怀疑的是朝鲜的这款杀毒软件似乎在有意放过JAKU恶意程序，而杀毒软件存在的意义不就是检测已知特征的恶意程序么，而且，这款恶意程序是能够被趋势科技的杀软检测到的。

三、趋势科技对此做出回应

当发现这样的问题后，Check Point方面立即联系了趋势科技，准备详细了解SiliVaccine中使用的检测引擎相关的情况。

而趋势科技给出了这样的回应：尽管无法对Check Point给出的用于验证验证的软件副本的来源和真实性进行确认，但很显然是已经合并、由各种产品使用的广泛分布的趋势科技扫描引擎10年以上版本的模块。

而且，趋势科技并未在朝鲜或与朝鲜做过交易，所以，这些模块的使用都是完全没有许可而且是非法的，我们也未曾看到有证据显示涉及到源代码。

这一流出的扫描引擎版本相当陈旧，多年以前就已经通过各种OEM的广泛交易纳入到了趋势科技和第三方安全产品的上屏中，所以，朝鲜自主研发的SiliVaccine杀毒软件的开发者，是通过什么样的手段获得这一引擎的我们并不知道。

不过，趋势科技同时还指出，公司团队已经对使用旧版的SiliVaccine进行了额外分析，结果发现这样的事情已经不是第一次发生了。

尽管趋势科技对于软件盗版行为表示强烈反对，但面临这样的情况法律追索权似乎并不会有任何成效，而且，趋势科技也不认为这些侵权的用户会给自己的客户带来任何重大风险。

四、朝鲜杀毒软件和日本的关系

前文笔者已经提到，朝鲜这款自研杀软在未经许可的情况下，使用了总部在日本的趋势科技的扫描引擎，而且还是十多年前的版本，而提供这份副本的是一个自称是日本工程师的人。

研究人员经过细致的分析，找到了编写SiliVaccine软件的公司名称，其中两家分别是PGI和STS Tech-Service，而从表面上看STS技术服务公司是确实是一家朝鲜公司。

值得回味的是，STS技术服务公司此前曾和多家公司有过合作，其中两家是位于日本的“Silver Star”和“Magnolia”，前文笔者已经提到过，日本和朝鲜之间没有任何官方的外交关系！

所以，很明显Check point 的调查结果引出了很多此前不曾注意过的事情，那么问题来了，究竟谁才是SiliVaccine的开发者和支持者，这款杀软的存在意义又是什么呢？