{"id":18356,"date":"2019-01-09T15:06:36","date_gmt":"2019-01-09T13:06:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18356"},"modified":"2021-05-03T14:22:34","modified_gmt":"2021-05-03T12:22:34","slug":"35c3-dprk-antivirus","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/35c3-dprk-antivirus\/18356\/","title":{"rendered":"SiliVaccine: Ein Antivirenprogramm aus Nordkorea"},"content":{"rendered":"

Das Forschungsteam von Che\u0441k Point erhielt k\u00fcrzlich die Nachricht eines Bloomberg-Journalisten namens Martyn Williams, der von einer angeblich aus Japan stammenden Person, die Kopie eines nordkoreanischen Antivirenprogramms<\/strong> erhalten hatte. Auf nordkoreanische Software trifft man zugegebenerma\u00dfen nicht sehr oft; aus diesem Grund waren die Experten Mark Lechtik und Michael Kajiloti auch besonders gespannt auf die F\u00e4higkeiten des Antiviren-Tools<\/strong>. Die Ergebnisse ihrer Untersuchung<\/a> pr\u00e4sentierten die beiden auf dem Hacker-Kongress 35C3<\/a>.<\/p>\n

Bevor wir jedoch \u00fcber das nordkoreanische Antivirenprodukt sprechen, sollten wir wahrscheinlich kurz darauf eingehen, wie Nordkorea zum Thema Internet steht und umgekehrt.<\/p>\n

Nordkoreas Rolle in der Entwicklung des globalen Netzwerks<\/h3>\n

Attribuierung \u2013 die Entwicklung einer berechtigten Behauptung, dass eine landesspezifische Gruppe den Versuch gestartet hat, einen bestimmten Angriff auszuf\u00fchren \u2013 ist ein sogenanntes Hit-and-Miss-Business. Beweise zu interpretieren ist schwierig, dem falschen Beispiel zu folgen ist einfach, usw. Dennoch wurde Nordkorea irgendwann von mehreren Forschergruppen bestimmter Onlineangriffe<\/strong> beschuldigt. Dar\u00fcber hinaus wird allgemein angenommen, dass Nordkorea staatlich unterst\u00fctzte Hackergruppen<\/strong> einsetzt, deren Aufgabe darin besteht, Geld f\u00fcr das Regime zu verdienen; eine Annahme, die von DVRK-Beamten vehement abgestritten wird.<\/p>\n

Das Internet als solches ist in Nordkorea praktisch inexistent: Das World Wide Web ist nur f\u00fcr wenige Auserw\u00e4hlte zug\u00e4nglich, w\u00e4hrend ein Gro\u00dfteil der Bev\u00f6lkerung auf das nationale Intranet, auch Kwangmyong<\/em> genannt, beschr\u00e4nkt ist: ein Netzwerk voller Informationen \u00fcber den \u201everfallenden Westen\u201c. Der Westen wiederum hat umgekehrt genauso rare M\u00f6glichkeiten, einen Einblick in das nordkoreanische Netzwerk zu erhaschen, sodass jegliche Information zu diesem Thema ein Hochgenuss ist.<\/p>\n

\"So

So geriet das nordkoreanische Antivirus SiliVaccine in die H\u00e4nde der Forscher<\/p><\/div>\n

Wof\u00fcr ein Koreanisch-japanisches Antivirus?<\/h3>\n

Die erste logische Frage lautet: Wozu sollte Nordkorea, ohne Zugriff auf das Internet, ein AV-Programm \u00fcberhaupt ben\u00f6tigen? Zum einen zum Schutz<\/strong> vor<\/strong> \u00fcber USB-Sticks eingeschmuggelte Viren<\/strong>, die westliche Artikel, s\u00fcdkoreanische Fernsehserien und andere, offiziell nicht in der DVRK vorhandene Informationen enthalten. Derartige Schmuggelware ist in Nordkorea \u00fcberraschenderweise besonders weit verbreitet. Zum anderen, und weniger offensichtlich, scheint es, als w\u00fcrde Nordkorea das Virenschutzprogramm international vermarkten wollen. Zumindest eine der Versionen des Antivirenprogramms<\/strong> verf\u00fcgt \u00fcber eine englische Benutzeroberfl\u00e4che.<\/p>\n

Die zweite, nicht weniger logische Frage lautet: Wie gelangt das DVRK an eigene Antivirensoftware? Ein derart ausgereiftes Produkt ist vor allem bei begrenzten Ressourcen nur schwer von Grund auf neu zu entwickeln. Auch die Experten von Check Point haben sich mit dieser Frage befasst, um ein interessantes Fazit zu ziehen: Die 2013er Version des koreanischen Antivirus (die den Experten zur Verf\u00fcgung stand) hat sich die Engine einer beliebten AV-L\u00f6sung<\/strong> von Trend Micro, aus dem Jahr 2008, zunutze gemacht.<\/p>\n

Die koreanischen Entwickler waren offensichtlich nicht daran interessiert, dass Au\u00dfenstehende einen genaueren Blick auf den Code des Produkts werfen, denn viele seiner Komponenten wurden durch Themida gesch\u00fctzt \u2013 ein Wrapper-Programm, das Reverse Engineering verhindert. Diejenigen, die f\u00fcr die Zusammenstellung der SiliVaccine-Komponenten zust\u00e4ndig waren, hatten jedoch vers\u00e4umt, einen Gro\u00dfteil des eindrucksvollen Themida-Toolkits zu verwenden, sodass das Team von Check Point letztlich doch auf den Programmcode zugreifen konnte.<\/p>\n

Rund ein Viertel des SiliVaccine-Codes entspricht vollst\u00e4ndig den Elementen des Antivirus-Codes<\/strong> von Trend Micro, obwohl bestimmte Funktionen minimal ver\u00e4ndert wurden. Das Forschungsteam wandte sich mit der Frage, wie Nordkorea an den Quellcode eines in Japan hergestellten Antivirus-Produkts gekommen w\u00e4re an Trend Micro. Der Anbieter erwiderte daraufhin, dass dies sehr wahrscheinlich auf illegale Art und Weise geschehen sei. Er erw\u00e4hnte auch, dass die Engine von Trend-Micro-Partnern h\u00e4tte verwendet werden k\u00f6nnen, die Schutzl\u00f6sungen<\/strong> unter ihren eigenen Markennamen vermarkten. Zumindest gibt dies einen Hinweis darauf, wie der Quellcode in die H\u00e4nde nordkoreanischer Programmierer gelangt sein k\u00f6nnte.<\/p>\n

\"Die

Die offizielle Antwort von Trend Micro<\/p><\/div>\n

Die Nordkoreaner haben eindeutig versucht, die Tatsache zu vertuschen, dass SiliVaccine auf der Trend-Micro-Engine basiert, indem sie ihrem \u201eeigenen\u201c Programm jede Menge schmeichelnden Schnickschnack verpasst haben. Auf den ersten Blick scheint es, als w\u00fcrden beide Antivirenprogramme v\u00f6llig unterschiedliche Prozesse zur Virensignatur<\/a> verwenden: Trend Micro verwendet eine einzige Signaturdatei, w\u00e4hrend es bei SiliVaccine stolze 20 sind. Sobald die Engine jedoch hochgefahren wird, verschmelzen all diese Dateien zu einer einzigen Datei. Was die Signaturen selbst betrifft, \u00e4hneln sie verd\u00e4chtig denen von Trend Micro: Wenn der Anbieter beispielsweise die Signatur TROJ_STEAL-1 f\u00fcr bestimmte Malwaretypen<\/strong> verwendet, nutzt SiliVaccine die Bezeichnung Trj.Steal.B. Die Nordkoreaner haben lediglich Gro\u00df- und Kleinschreibung der Signatur ver\u00e4ndert, Binde- und Unterstriche durch Punkte ersetzt und weitere minimale \u00c4nderungen vorgenommen.<\/p>\n

Im Rahmen ihrer Untersuchung stie\u00df das Forschungsteam zudem auf eine Reihe von Bugs und Merkw\u00fcrdigkeiten. So unterst\u00fctzt das Programm beispielsweise eine Komponente, die angeblich eine Datei auf Viren scannen<\/strong> soll, wenn der Nutzer im Datei-Explorer mit einem Rechtsklick die entsprechende Option im Men\u00fc ausw\u00e4hlt. Zwar erscheint die Option im Men\u00fc, aber auch bei mehrfachem Klicken geschieht rein gar nichts.<\/p>\n

Eine weitere Kuriosit\u00e4t: Das Antivirus wird mit einem Treiber geliefert, der Informationen \u00fcber Netzwerkverbindungen sammelt, diese aber nicht weiter verwendet. Theoretisch sollten andere Dateien auf den Treiber zugreifen, allerdings wird er von keiner anderen SiliVaccine-Datei genutzt.<\/p>\n

Einige der Komponenten wurden mithilfe von BopCrypt verschl\u00fcsselt; ein Paketverwaltungstool, das vor 15 Jahren in der russischsprachigen Internet-Community beliebt war. Wieder andere Komponenten des nordkoreanischen AVs schienen haupts\u00e4chlich aus Junk-Code zu bestehen. Dar\u00fcber hinaus machte es den Eindruck, dass die Hauptfunktion einiger Dateien darin besteht, blo\u00dfe Zeit zu verschwenden. Zudem sind die Forscher der Meinung, dass die Autoren einiger SiliVaccine-Komponenten <\/strong>ihr Gl\u00fcck mit Reverse Engineering versucht haben, aber an der genauen Funktionsweise des Codes scheiterten.<\/p>\n

Weiterhin macht es den Anschein, als w\u00fcrde Teamarbeit bei den Code-Entwicklern nicht besonders gro\u00df geschrieben. So soll eine Datei beispielsweise die Funktion einer anderen mit einem auf einen bestimmten Wert gesetzten Parameter ausl\u00f6sen, w\u00e4hrend die zweite Datei speziell so programmiert ist, dass sie rein gar nichts tut, wenn dieser Wert aktiviert wird.<\/p>\n

Alles in allem erwies sich die nordkoreanische L\u00f6sung SiliVaccine als eine sehr \u00fcberarbeitete und sehr fehlerhafte Version des AV-Programms von Trend Micro.<\/p>\n

K\u00f6nnte es sich um Malware handeln?<\/h3>\n

Jeder, der mit der externen Internetrichtlinie der DVRK vertraut ist, sollte sich fragen: Was ist, wenn es sich tats\u00e4chlich um einen Trojaner<\/strong> handelt? Was, wenn das Produkt entwickelt wurde, um Malware oder \u00c4hnliches einzuschleusen? Auch auf diese Fragen haben Check Points Forscher eine Antwort.<\/p>\n

Zun\u00e4chst scheint das SiliVaccine-Antivirus an sich sauber zu sein. Jedenfalls konnten die Forscher keine Malwarefunktionen finden. Die EXE-Dateien beinhalten jedoch eine Signatur, die die Engine gekonnt ignorieren soll. Sollte also eine gescannte Datei mit Malware<\/strong> dieser Signatur infiziert<\/strong> werden, ignoriert SiliVaccine diese schlichtweg.<\/p>\n

\"SiliVaccine

SiliVaccine ignoriert Malwaredateien mit einer spezifischen Signatur<\/p><\/div>\n

Nat\u00fcrlich wollten die Forscher wissen, um welche Art der Malware es sich hierbei genau handelte, und versuchten die Signatur der SiliVaccine-Virenbank mit der entsprechenden Signatur aus der Trend-Micro-Bank zu vergleichen. Dabei stellte sich heraus, dass es sich um eine heuristische Signatur handelte, die allen Dateien zugeordnet wurde, die ein bestimmtes Verhalten zeigten. Aus diesem Grund war es den Experten unm\u00f6glich herauszufinden, welche Malware-Datei<\/strong> das nordkoreanische Antivirenprogramm ignorieren sollte, konnten jedoch feststellen, dass die Entwickler von SiliVaccine zu einem bestimmten Zeitpunkt einen Fehler begangen hatten, indem sie eine ung\u00fcltige Signatur auf die Allowlist gesetzt hatten.<\/p>\n

Obwohl das Installationsprogramm von SiliVaccine selbst nicht b\u00f6sartig war, enthielt das Archiv, das der Bloomberg-Journalist von einem angeblich aus Japan stammenden Unbekannten erhalten hatte, auch eine andere Datei, deren Name darauf hindeutete, dass es sich um einen Patch f\u00fcr SiliVaccine handelte. Die Metadaten hingegen wiesen darauf hin, dass die Datei mit den automatischen Microsoft-Updates zusammenh\u00e4ngt.<\/p>\n

\"Das

Das Archiv, das der Bloomberg-Journalist erhielt, enthielt Malware, die mit der Gruppe DarkHotel verkn\u00fcpft ist<\/p><\/div>\n

Die Check-Point-Forscher analysierten die Datei und kamen zu dem Ergebnis, dass es sich um eine Malware namens Jaku handelte, die erstmals von Forcepoint im Jahr 2016 beschrieben wurde. Laut den von Forcepoint dargelegten Erkl\u00e4rungen<\/a> wurde Jaku gegen Personen eingesetzt, die auf die eine oder andere Weise mit Nordkorea in Verbindung standen. Zudem ist die Malware ganz klar mit DarkHotel<\/a>, einer koreanischsprachigen Gruppe, deren Aktivit\u00e4ten in einer 2014 ver\u00f6ffentlichten Studie<\/a> behandelt wurden, verkn\u00fcpft.<\/p>\n

Martyn Williams \u2013 der Bloomberg-Journalist, dem SiliVaccine \u00fcbermittelt wurde \u2013 schreibt viel \u00fcber Nordkorea, weshalb die Forscher davon ausgehen, dass die E-Mail mit dem angeh\u00e4ngten AV-Programm ein gezielter Angriff auf ihn gewesen sein k\u00f6nnte. Was SiliVaccine betrifft, scheint es sich um ein echtes Antivirenprodukt<\/strong> zu handeln, das in Nordkorea sehr h\u00e4ufig verwendet wird \u2013 vermutlich auch deshalb, weil schlichtweg keine besseren Optionen zur Verf\u00fcgung stehen.<\/p>\n