{"id":11300,"date":"2019-02-01T08:30:38","date_gmt":"2019-02-01T11:30:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11300"},"modified":"2019-11-22T07:10:35","modified_gmt":"2019-11-22T10:10:35","slug":"35c3-dprk-antivirus","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/35c3-dprk-antivirus\/11300\/","title":{"rendered":"SiliVaccine: O antiv\u00edrus da Coreia do Norte"},"content":{"rendered":"

Certa vez, a equipe de pesquisadores do Check Point recebeu uma mensagem de um jornalista da Bloomberg, chamado Martyn Williams, sobre uma c\u00f3pia de um antiv\u00edrus norte-coreano enviado supostamente do Jap\u00e3o. Como os softwares norte-coreanos n\u00e3o s\u00e3o encontrados com facilidade, a oportunidade de entrar em contato com a ferramenta antiv\u00edrus logo causou como\u00e7\u00e3o nos especialistas Mark Lechtik e Michael Kaji-loti, que apresentaram os resultados desse estudo<\/a> no congresso de hackers da 35C3<\/a>.<\/p>\n Especialistas fazem descobertas interessantes ao examinarem o c\u00f3digo do antiv\u00edrus norte-coreano SiliVaccine\n

Antes de discutirmos o antiv\u00edrus norte-coreano, precisamos falar brevemente sobre a rela\u00e7\u00e3o entre a Coreia do Norte e a Internet.<\/p>\n

O papel da Coreia do Norte no desenvolvimento da rede global<\/strong><\/h3>\n

Atribui\u00e7\u00e3o \u2013 elaborar uma alega\u00e7\u00e3o justificando que um grupo espec\u00edfico, de um determinado pa\u00eds, realizou uma tentativa de um certo ataque \u2013 trata-se de algo completamente impreciso. \u00c0s vezes, seguir o caminho errado \u00e9 mais f\u00e1cil que interpretar evid\u00eancias e assim por diante. No entanto, em algum momento, in\u00fameros grupos de pesquisa atribu\u00edram, de forma conjunta, ataques \u00e0 Coreia do Norte. Especula-se tamb\u00e9m que esse pa\u00eds utiliza grupos de hackers com o apoio do Estado, os quais em contrapartida arrecadam dinheiro em prol do regime pol\u00edtico. \u00c9 claro que os oficiais da Rep\u00fablica Popular Democr\u00e1tica da Coreia (RPDC) negam essas informa\u00e7\u00f5es.<\/p>\n

\"Como

Como o antiv\u00edrus norte-coreano SiliVaccine foi parar nas m\u00e3os dos pesquisadores<\/p><\/div>\n

Dito isso, \u00e9 importante ressaltar que o acesso \u00e0 Internet \u00e9 praticamente inexistente na Coreia do Norte. A Rede pode ser acessada apenas por alguns poucos escolhidos, enquanto a maior parte da popula\u00e7\u00e3o est\u00e1 restrita \u00e0 intranet dom\u00e9stica, chamada Kwangmyong: uma rede livre das impurezas das informa\u00e7\u00f5es do \u201cOcidente decadente\u201d.<\/p>\n

O antiv\u00edrus coreano-japon\u00eas<\/strong><\/h3>\n

A pergunta a se fazer \u00e9: por que a Coreia do Norte, que n\u00e3o possui acesso \u00e0 Internet, quer um antiv\u00edrus? O primeiro motivo seria para proteger o pa\u00eds contra v\u00edrus contrabandeados em cart\u00f5es de mem\u00f3ria, que podem conter artigos ocidentais, como s\u00e9ries de TV sul-coreanas e outras informa\u00e7\u00f5es n\u00e3o dispon\u00edveis oficialmente no pa\u00eds.<\/p>\n

Surpreendentemente, o contrabando de cart\u00f5es de mem\u00f3ria \u00e9 muito difundido nessa regi\u00e3o. O segundo motivo, menos \u00f3bvio, sugere que a Coreia do Norte pretende comercializar o antiv\u00edrus internacionalmente \u2013 j\u00e1 que pelo menos uma das vers\u00f5es inclui uma interface em ingl\u00eas.<\/p>\n

A segunda pergunta, n\u00e3o menos l\u00f3gica, \u00e9: como a RPDC conseguiria desenvolver um software antiv\u00edrus pr\u00f3prio? Um produto com esse grau de sofistica\u00e7\u00e3o \u00e9 bastante dif\u00edcil de criar a partir do zero, especialmente com recursos limitados. Ao abordar essa quest\u00e3o, os especialistas do Check Point chegaram a uma conclus\u00e3o interessante: a vers\u00e3o de 2013 do antiv\u00edrus coreano (que foi analisada) utilizava um mecanismo popular de solu\u00e7\u00e3o antiv\u00edrus da Trend Micro, desenvolvido em 2008.<\/p>\n

Os desenvolvedores coreanos n\u00e3o estavam dispostos a deixar ningu\u00e9m interferir no c\u00f3digo do produto e muitos de seus componentes, por isso, foram protegidos por meio do Themida \u2013 um programa wrapper projetado para impedir engenharia reversa. No entanto, os respons\u00e1veis pela veda\u00e7\u00e3o de componentes do SiliVaccine negligenciaram o uso de grande parte do impressionante kit de ferramentas do Themida e, em consequ\u00eancia disso, a equipe do Check Point conseguiu acessar o c\u00f3digo do programa.<\/p>\n

Cerca de um quarto do c\u00f3digo SiliVaccine corresponde totalmente aos elementos do c\u00f3digo antiv\u00edrus da Trend Micro, com algumas fun\u00e7\u00f5es ligeiramente modificadas. Sendo assim, a equipe de pesquisa questionou a empresa sobre como a Coreia do Norte obteve acesso ao c\u00f3digo fonte de um produto antiv\u00edrus desenvolvido no Jap\u00e3o. A Trend Micro alegou n\u00e3o saber como a Coreia do Norte adquiriu o programa, mas disse acreditar que foi de forma ilegal. Tamb\u00e9m mencionaram que poderia ter sido usado por parceiros de neg\u00f3cios, os quais estariam comercializando solu\u00e7\u00f5es de prote\u00e7\u00e3o por meio de marcas pr\u00f3prias. Isso nos d\u00e1 pelo menos uma pista de como o c\u00f3digo-fonte poderia ter ca\u00eddo nas m\u00e3os dos programadores norte-coreanos.<\/p>\n

\"Resposta

Resposta oficial da Trend Micro sugere que os norte-coreanos pegaram suas ferramentas de antiv\u00edrus emprestadas<\/p><\/div>\n

Os norte-coreanos estavam claramente tentando esconder o fato de que o SiliVaccine era baseado no programa da Trend Micro, por isso adicionaram alguns adere\u00e7os e recursos adicionais sup\u00e9rfluos. Assim, \u00e0 primeira vista, parecia que esses dois antiv\u00edrus utilizavam processos totalmente diferentes para assinaturas<\/a> de v\u00edrus: a Trend Micro utilizava apenas um arquivo de assinatura, enquanto a SiliVaccine fazia uso de 20. Por\u00e9m, assim que o programa era inicializado todos esses arquivos se fundiam em um. Quanto \u00e0s pr\u00f3prias assinaturas, elas suspeitosamente se assemelham \u00e0quelas usadas pela Trend Micro: por exemplo, se a Trend usava uma assinatura TROJ_STEAL-1 para certos malware, a SiliVaccine usava Trj.Steal.B. Eles apenas alteravam letras, substitu\u00edam tra\u00e7os e sublinhados por pontos finais, adicionando pequenas altera\u00e7\u00f5es.<\/p>\n

Ao longo da investiga\u00e7\u00e3o sobre o antiv\u00edrus norte-coreano, a equipe de pesquisa relatou muitos erros e esquisitices. Como por exemplo, um programa que apresenta um componente supostamente destinado a rastrear um arquivo de v\u00edrus em que o usu\u00e1rio deve clicar no File Explorer com o bot\u00e3o direito do mouse e depois selecionar a op\u00e7\u00e3o apropriada do menu. Acontece que o menu at\u00e9 possui essa op\u00e7\u00e3o, mas clicar nele n\u00e3o leva a lugar algum.<\/p>\n

Mais uma curiosidade: o antiv\u00edrus vem com um driver que coleta informa\u00e7\u00f5es sobre conex\u00f5es de rede e\u2026 n\u00e3o faz nada com esses dados. Em teoria, o driver deveria ser acessado por alguns outros arquivos, mas nenhum outro arquivo SiliVaccine jamais o utilizou.<\/p>\n

Alguns componentes foram criptografados com o BopCrypt \u2013 ferramenta de veda\u00e7\u00e3o popular utilizada pela comunidade da Internet de l\u00edngua russa h\u00e1 cerca de 15 anos. Na maioria, os componentes consistem de c\u00f3digos de lixo eletr\u00f4nico. A impress\u00e3o era de que a principal fun\u00e7\u00e3o de alguns arquivos era apenas estimular a perda de tempo\u2026 fazendo nada. Al\u00e9m disso, os pesquisadores desenvolveram uma hip\u00f3tese de que os autores de pelo menos alguns componentes do SiliVaccine haviam tentado aplicar engenharia reversa, mas falharam ao n\u00e3o descobrirem exatamente como o c\u00f3digo funcionava.<\/p>\n

Al\u00e9m disso, ficou evidente que as pessoas que desenvolviam diferentes partes do c\u00f3digo n\u00e3o eram muito boas em trabalhar em equipe. Por exemplo, um arquivo deve acionar uma fun\u00e7\u00e3o de outro, com um par\u00e2metro que \u00e9 definido para um determinado valor, enquanto o segundo arquivo \u00e9 especificamente programado para n\u00e3o fazer nada caso esse valor seja ativado.<\/p>\n

Considera\u00e7\u00f5es \u00e0 parte, o SiliVaccine norte-coreano acabou por se tornar uma vers\u00e3o retorcida e com muitos bugs do antiv\u00edrus da Trend Micro.<\/p>\n

Pode ser considerado malware?<\/strong><\/h3>\n

Qualquer pessoa que esteja familiarizada com a pol\u00edtica externa de Internet da RPDC deve perguntar-se: E se for realmente um cavalo de Tr\u00f3ia? E se este produto foi feito para implantar malware ou algo do tipo? O Check Point tem uma resposta para isso tamb\u00e9m.<\/p>\n

Novamente, suas descobertas foram muito interessantes. O antiv\u00edrus SiliVaccine parece estar limpo. Nenhum vest\u00edgio de malware foi encontrado. No entanto, os arquivos EXE mencionam uma assinatura que o mecanismo deve ignorar. Se um arquivo digitalizado for infectado por um malware dessa assinatura, o SiliVaccine simplesmente o deixar\u00e1 viver.<\/p>\n

\"SiliVaccine

SiliVaccine ignora arquivos de malware com assinatura espec\u00edfica<\/p><\/div>\n

\u00a0<\/p>\n

Certamente, os pesquisadores estavam curiosos para saber exatamente qual parte do malware era aquela, por isso, tentaram realizar uma verifica\u00e7\u00e3o cruzada da assinatura da base do v\u00edrus SiliVaccine com a assinatura correspondente da base da Trend Micro. Mas acabou por se tornar uma assinatura heur\u00edstica, dada a todos os arquivos que demonstram um comportamento espec\u00edfico. Com isso, n\u00e3o foi poss\u00edvel descobrir exatamente qual arquivo de malware o antiv\u00edrus norte-coreano estava programado para ignorar. Por\u00e9m, os especialistas descobriram que os desenvolvedores do SiliVaccine tinham, em determinado momento, feito um erro de impress\u00e3o e colocado na lista de permiss\u00f5es uma assinatura inv\u00e1lida.<\/p>\n

Embora o instalador do SiliVaccine n\u00e3o fosse malicioso, o e-mail recebido pelo jornalista da Bloomberg, enviado por um desconhecido que estava supostamente no Jap\u00e3o, tamb\u00e9m continha outro arquivo. Seu nome sugeria que tratava-se de uma atualiza\u00e7\u00e3o para SiliVaccine, enquanto seus metadados afirmavam que estava relacionado \u00e0s atualiza\u00e7\u00f5es autom\u00e1ticas da Microsoft.<\/p>\n

\"O

O arquivo recebido pelo jornalista da Bloomberg tamb\u00e9m continha malware conectado ao DarkHotel APT<\/p><\/div>\n

\u00a0<\/p>\n

Os pesquisadores do Check Point analisaram esse arquivo para descobrir que tratava-se de um malware chamado Jaku, descrito pela primeira vez pela Forcepoint em 2016. De acordo com as explica\u00e7\u00f5es fornecidas pela Forcepoint em seu estudo, o Jaku foi usado contra indiv\u00edduos ligados, de uma forma ou de outra, \u00e0 Coreia do Norte, al\u00e9m disso estava claramente ligado ao DarkHotel<\/a> \u2013 um grupo de l\u00edngua coreana cujas atividades foram abordadas em um estudo que publicamos em 2014<\/a>.<\/a><\/p>\n

Martyn Williams \u2013 o jornalista da Bloomberg que recebeu a carta contendo SiliVaccine \u2013 escreve frequentemente sobre a Coreia do Norte, logo os pesquisadores presumiram que todo o esquema envolvendo o e-mail com o antiv\u00edrus em um anexo, poderia ter sido um ataque direcionado contra ele; seu trabalho dificilmente \u00e9 apreciado pelos l\u00edderes da RPDC. Quanto ao SiliVaccine, parece ser um produto antiv\u00edrus real, provavelmente usado na Coreia do Norte \u2013 por falta de melhores op\u00e7\u00f5es.<\/p>\n