{"id":5566,"date":"2019-01-16T14:49:21","date_gmt":"2019-01-16T11:49:21","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=5566"},"modified":"2019-11-15T14:34:17","modified_gmt":"2019-11-15T11:34:17","slug":"35c3-dprk-antivirus","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/35c3-dprk-antivirus\/5566\/","title":{"rendered":"SiliVaccine: Kuzey Kore antivir\u00fcs yaz\u0131l\u0131m\u0131"},"content":{"rendered":"

Check Point ara\u015ft\u0131rma ekibi, Bloomberg\u2019te \u00e7al\u0131\u015fan Martyn Williams ad\u0131nda bir gazeteciden mesaj ald\u0131. Daha \u00f6nce bu gazeteciye, Japon oldu\u011funu iddia eden birisi taraf\u0131ndan Kuzey Kore\u2019ye ait bir antivir\u00fcs yaz\u0131l\u0131m\u0131n\u0131n kopyas\u0131 iletilmi\u015fti. Kuzey Kore yap\u0131m\u0131 bir yaz\u0131l\u0131ma denk gelmek olduk\u00e7a nadir bir durum. Bu y\u00fczden uzman Mark Lechtik ve Michael Kajiloti, bu antivir\u00fcs arac\u0131n\u0131n \u00f6zelliklerini g\u00f6rebilece\u011fi i\u00e7in olduk\u00e7a memnundu. Lechtik ve Kajiloti, 35C3<\/a> hacker kongresinde \u00e7al\u0131\u015fmalar\u0131n\u0131n sonu\u00e7lar\u0131n\u0131 sundular<\/a>.<\/p>\n

Ancak Kuzey Kore yap\u0131m\u0131 antivir\u00fcs yaz\u0131l\u0131m\u0131na ge\u00e7meden \u00f6nce, Kuzey Kore\u2019nin internetle ve internetin Kuzey Kore\u2019yle olan ili\u015fkisinden k\u0131saca bahsetmemiz faydal\u0131 olacakt\u0131r.<\/p>\n

Kuzey Kore\u2019nin k\u00fcresel a\u011f\u0131 geli\u015ftirmedeki rol\u00fc<\/h2>\n

Bir sald\u0131r\u0131y\u0131 belirli bir gruba isnat etmek, yani belirli bir \u00fclkeden belirli bir grubun belirli bir sald\u0131r\u0131ya kalk\u0131\u015ft\u0131\u011f\u0131na dair makul bir iddia \u00fcretmek geli\u015fig\u00fczel tahminlere dayanan bir i\u015ftir. Kan\u0131tlar\u0131 yorumlamak \u00e7ok zordur, ara\u015ft\u0131rmac\u0131lar kolayl\u0131kla yanl\u0131\u015f bir ipucunun pe\u015fine d\u00fc\u015febilir. Yine de ge\u00e7mi\u015fte baz\u0131 sald\u0131r\u0131lar, birden \u00e7ok ara\u015ft\u0131rma grubu taraf\u0131ndan Kuzey Kore\u2019ye isnat edilmi\u015fti. Ayr\u0131ca Kuzey Kore\u2019nin, i\u015fleri rejim i\u00e7in para kazanmak olan devlet destekli hacker gruplar\u0131n\u0131 kulland\u0131\u011f\u0131 iddias\u0131 da yayg\u0131n olarak kabul g\u00f6ren bir iddiad\u0131r. Elbette, Kore Demokratik Halk Cumhuriyeti bunlar\u0131 reddetmektedir.<\/p>\n

Bununla beraber, bildi\u011fimiz internet Kuzey Kore\u2019de fiilen mevcut de\u011fildir: halk\u0131n \u00e7o\u011funlu\u011fu \u201c\u00c7\u00fcr\u00fcyen Bat\u0131\u201ddan gelen b\u00fct\u00fcn bilgilerin silindi\u011fi Kwangmyong ad\u0131ndaki yerel intraneti kullanmakla k\u0131s\u0131tlanm\u0131\u015fken World Wide Web\u2019e sadece se\u00e7ilmi\u015f birka\u00e7 ki\u015fi eri\u015febilir. Dolay\u0131s\u0131yla, Kuzey Kore a\u011f\u0131n\u0131 izleme konusunda Bat\u0131\u2019n\u0131n pek \u015fans\u0131 yoktur; b\u00f6ylesi bir ortamda konuyla ilgili en ufak bir bilgi k\u0131r\u0131nt\u0131s\u0131 bile olduk\u00e7a de\u011ferlidir.<\/p>\n

\"\"

Kuzey Kore antivir\u00fcs yaz\u0131l\u0131m\u0131 SiliVaccine, ara\u015ft\u0131rmac\u0131lar\u0131n eline nas\u0131l ge\u00e7ti?<\/p><\/div>\n

Kore\u2013Japon antivir\u00fcs\u00fc<\/h2>\n

Akla gelen ilk soru \u015fu: \u0130nternet\u2019i olmayan Kuzey Kore neden bir antivir\u00fcs kullanmak istesin? \u00d6ncelikle bu yaz\u0131l\u0131m\u0131n ama\u00e7lar\u0131ndan biri, Bat\u0131 kaynakl\u0131 makaleleri, G\u00fcney Kore TV dizilerini ve Kuzey Kore\u2019de resmi olarak mevcut olmayan di\u011fer bilgileri i\u00e7eren flash belleklerle \u00fclkeye sokulan vir\u00fcslere kar\u015f\u0131 koruma sa\u011flamak olabilir. Ka\u00e7ak flash bellekler bu b\u00f6lgelerde, \u015fa\u015f\u0131rt\u0131c\u0131 bir \u015fekilde olduk\u00e7a yayg\u0131nd\u0131r. \u0130kinci ve daha az bariz sebebi ise \u015fudur: Kuzey Kore bu antivir\u00fcs\u00fc uluslararas\u0131 alanda pazarlamay\u0131 planl\u0131yordu; en az\u0131ndan, yaz\u0131l\u0131m\u0131n versiyonlar\u0131ndan biri \u0130ngilizce bir aray\u00fcze sahip.<\/p>\n

Burada akl\u0131n\u0131za ilki kadar mant\u0131kl\u0131 bir soru daha gelebilir: Kore Demokratik Halk Cumhuriyeti kendi antivir\u00fcs yaz\u0131l\u0131m\u0131n\u0131 nas\u0131l \u00fcretmi\u015f olabilir? S\u0131n\u0131rl\u0131 kaynaklar da g\u00f6z \u00f6n\u00fcnde bulunduruldu\u011funda b\u00f6yle sofistike bir \u00fcr\u00fcn\u00fc tepeden t\u0131rna\u011fa tasarlamak olduk\u00e7a zordur. Check Point uzmanlar\u0131 da bu soruyu ele alm\u0131\u015f ve ilgin\u00e7 bir sonuca ula\u015fm\u0131\u015f: Kore antivir\u00fcs yaz\u0131l\u0131m\u0131n\u0131n 2013 versiyonu (ellerinde mevcut olan versiyon buydu), Trend Micro\u2019nun 2008\u2019deki pop\u00fcler antivir\u00fcs yaz\u0131l\u0131m\u0131n\u0131n motorunu kullan\u0131yor.<\/p>\n

Koreli geli\u015ftiriciler \u015f\u00fcphesiz, \u00fcr\u00fcn\u00fcn kodunun birileri taraf\u0131ndan kurcalanmas\u0131n\u0131 istemiyordu; \u00fcr\u00fcn\u00fcn bir\u00e7ok bile\u015feni Themida \u2013 tersine m\u00fchendisli\u011fi engellemek i\u00e7in tasarlanm\u0131\u015f bir sarmalay\u0131c\u0131 program \u2013 ile korunuyordu. Ancak SiliVaccine\u2019nin bile\u015fenlerini bir araya getiren ki\u015filer etkileyici ara\u00e7 kiti Themida\u2019n\u0131n bir\u00e7ok \u00f6zelli\u011fini kullanmay\u0131 ihmal etmi\u015fti. Bu sayede Check Point ekibi program koduna eri\u015fim sa\u011flayabildi.<\/p>\n

SiliVaccine program kodunun yakla\u015f\u0131k d\u00f6rtte biri Trend Micro antivir\u00fcs kodunun \u00f6\u011feleriyle tamamen uyu\u015fsa da belirli i\u015flevler biraz modifiye edilmi\u015ftir. Ara\u015ft\u0131rma ekibi, Trend Micro\u2019ya \u015fu soruyu y\u00f6neltti: Kuzey Kore, Japon yap\u0131m\u0131 bir antivir\u00fcs \u00fcr\u00fcn\u00fcn\u00fcn kaynak kodunu nas\u0131l elde etmi\u015f olabilir? Trend Micro, Kore Demokratik Halk Cumhuriyeti\u2019nin motorlar\u0131n\u0131 nas\u0131l ele ge\u00e7irdi\u011fini bilmedi\u011fini ve bu nedenle motorun illegal bir \u015fekilde kullan\u0131ld\u0131\u011f\u0131n\u0131 d\u00fc\u015f\u00fcnd\u00fcklerini belirtti. Trend Micro, motorlar\u0131n\u0131n, kendi markalar\u0131 alt\u0131nda koruma \u00e7\u00f6z\u00fcmleri sunan i\u015f ortaklar\u0131 taraf\u0131ndan kullan\u0131lm\u0131\u015f olabilece\u011fini de ifade etti. Bu bilgi, en az\u0131ndan, kaynak kodun Kuzey Koreli programc\u0131lar\u0131n eline nas\u0131l ge\u00e7mi\u015f abilece\u011fine dair bir ipucu vermektedir.<\/p>\n

\"\"

Trend Micro\u2019nun ara\u015ft\u0131rmaya ilgili resmi cevab\u0131<\/p><\/div>\n

Kuzey Korelilerin, SiliVaccine\u2019nin Trend Micro\u2019nun motoruyla yap\u0131ld\u0131\u011f\u0131 ger\u00e7e\u011fini saklamaya \u00e7al\u0131\u015ft\u0131\u011f\u0131 a\u015fikar; bunun i\u00e7in yaz\u0131l\u0131ma baz\u0131 ekstra \u00f6zellikler eklenmi\u015f. O y\u00fczden, ilk bak\u0131\u015fta bu iki antivir\u00fcs program\u0131n\u0131n, vir\u00fcs imzalar\u0131 i\u00e7in tamamen farkl\u0131 s\u00fcre\u00e7ler kulland\u0131\u011f\u0131 g\u00f6r\u00fclebilir: Trend Micro sadece bir imza dosyas\u0131 kullan\u0131rken, SiliVaccine i\u00e7in bu say\u0131 20\u2019dir. Ancak motor ba\u015flat\u0131l\u0131r ba\u015flat\u0131lmaz t\u00fcm bu dosyalar tek bir dosya alt\u0131nda birle\u015ftirilir. \u0130mzalar\u0131n kendisine gelince; bunlar, Trend Micro taraf\u0131ndan kullan\u0131lan imzalara \u015f\u00fcphe uyand\u0131racak kadar benziyor: \u00d6rne\u011fin, belli bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m i\u00e7in Trend Micro, TROJ_STEAL-1 \u015feklinde bir imza kullan\u0131rken, SiliVaccine\u2019nin imzas\u0131 Trj.Steal.B \u015feklindedir. Yani sadece b\u00fcy\u00fck-k\u00fc\u00e7\u00fck harfler de\u011fi\u015ftirilmi\u015f, tire ve alt tireler at\u0131lm\u0131\u015f ve birka\u00e7 k\u00fc\u00e7\u00fck de\u011fi\u015fiklik eklenmi\u015ftir.<\/p>\n

Kuzey Kore antivir\u00fcs yaz\u0131l\u0131m\u0131yla ilgili ara\u015ft\u0131rma devam ederken ara\u015ft\u0131rma ekibi \u00e7ok say\u0131da yaz\u0131l\u0131m hatas\u0131 ve tuhafl\u0131klar ke\u015ffetmi\u015ftir. \u00d6rne\u011fin programda, kullan\u0131c\u0131 Dosya Gezgini\u2019nde bir dosyaya sa\u011f t\u0131klay\u0131p se\u00e7eneklerden ilgili se\u00e7ene\u011fe t\u0131klad\u0131\u011f\u0131nda o dosya i\u00e7in s\u00f6zde vir\u00fcs taramas\u0131 yapmas\u0131 ama\u00e7lanan bir bile\u015fen bulunuyor. Men\u00fcde bu se\u00e7enek g\u00f6sterilse de se\u00e7ene\u011fe t\u0131kland\u0131\u011f\u0131 zaman b\u00f6yle bir i\u015flem ger\u00e7ekle\u015fmiyor.<\/p>\n

Bir ba\u015fka tuhafl\u0131k ise \u015f\u00f6yle: Yaz\u0131l\u0131m, a\u011f ba\u011flant\u0131lar\u0131yla ilgili bilgi toplayan ve bu bilgilerle hi\u00e7bir \u015fey yapmayan bir s\u00fcr\u00fcc\u00fcye sahip. Teoride, bu s\u00fcr\u00fcc\u00fcye di\u011fer dosyalar taraf\u0131ndan eri\u015filmesi gerekirken hi\u00e7bir SiliVaccine dosyas\u0131 s\u00f6z konusu s\u00fcr\u00fcc\u00fcy\u00fc kullanm\u0131yor.<\/p>\n

Yaz\u0131l\u0131m\u0131n baz\u0131 bile\u015fenleri BopCrypt ile \u015fifrelenmi\u015f. BopCrypt, yakla\u015f\u0131k 15 y\u0131l \u00f6nce Rus\u00e7a konu\u015fulan internet toplulu\u011funda olduk\u00e7a pop\u00fcler olan bir paketleme arac\u0131yd\u0131. Baz\u0131 bile\u015fenler ise \u00e7o\u011funlukla gereksiz kodlardan olu\u015fuyor. Bu nedenle, baz\u0131 dosyalar\u0131n temel i\u015flevinin hi\u00e7bir \u015fey yapmay\u0131p sadece zaman kayb\u0131 yaratmak oldu\u011fu izlenimi ortaya \u00e7\u0131k\u0131yor. Dahas\u0131 ara\u015ft\u0131rmac\u0131lara g\u00f6re, SiliVaccine bile\u015fenlerinin en az\u0131ndan baz\u0131lar\u0131n\u0131n yarat\u0131c\u0131lar\u0131 tersine m\u00fchendislik uygulamaya \u00e7al\u0131\u015fm\u0131\u015f ancak kodun tam olarak nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 bulmay\u0131 ba\u015faramam\u0131\u015f.<\/p>\n

Ayr\u0131ca ara\u015ft\u0131rmac\u0131lar, kodun farkl\u0131 b\u00f6l\u00fcmlerini yazan ki\u015filerin tak\u0131m \u00e7al\u0131\u015fmas\u0131na pek yatk\u0131n olmad\u0131\u011f\u0131n\u0131 da d\u00fc\u015f\u00fcnmektedir. \u00d6rne\u011fin bir dosyan\u0131n, belirli bir de\u011fere ayarlanm\u0131\u015f parametreye sahip ba\u015fka bir dosyan\u0131n i\u015flevini tetiklemesi gerekirken ikinci dosya bu de\u011fer ortaya \u00e7\u0131k\u0131nca \u00f6zellikle hi\u00e7bir \u015fey yapmamaya programlanm\u0131\u015f.<\/p>\n

B\u00fct\u00fcn bunlar g\u00f6z \u00f6n\u00fcnde bulunduruldu\u011funda Kuzey Kore\u2019ye ait SiliVaccine yaz\u0131l\u0131m\u0131n\u0131n, Trend Micro antivir\u00fcs\u00fcn\u00fcn de\u011fi\u015ftirilmi\u015f ve olduk\u00e7a hatal\u0131 bir versiyonu oldu\u011fu ortaya \u00e7\u0131k\u0131yor.<\/p>\n

Bu k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m olabilir mi?<\/h2>\n

Kore Demokratik Halk Cumhuriyeti\u2019nin d\u0131\u015f internet politikas\u0131na a\u015fina olan herkesin akl\u0131na \u015fu soru gelir: Bu yaz\u0131l\u0131m ya bir Truva At\u0131 ise? Ya k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m veya benzeri bir \u015feyi yerle\u015ftirmek i\u00e7in \u00fcretilmi\u015fse? Check Point elbette bu soruyu da cevapl\u0131yor.<\/p>\n

Bu konuda elde ettikleri bulgular da ger\u00e7ekten ilgin\u00e7. \u0130lk olarak, SiliVaccine antivir\u00fcs yaz\u0131l\u0131m\u0131 temiz g\u00f6r\u00fcn\u00fcyor. Antivir\u00fcste herhangi bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131ma rastlanmam\u0131\u015f. Ancak yine de, EXE dosyalar\u0131nda, motorun yoksaymas\u0131 gereken bir imza yer al\u0131yor. Taranan dosyaya, bu imzaya sahip k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m bula\u015fm\u0131\u015fsa SiliVaccine bu vir\u00fcse kar\u015f\u0131 herhangi bir yok etme giri\u015fiminde bulunmuyor.<\/p>\n

\"\"

SiliVaccine belirli bir imzaya sahip k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m dosyalar\u0131n\u0131 yoksayar<\/p><\/div>\n

Ara\u015ft\u0131rmac\u0131lar elbette bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n ne oldu\u011funu merak ediyordu; bu ama\u00e7la SiliVaccine vir\u00fcs taban\u0131na kar\u015f\u0131l\u0131k gelen Trend Micro vir\u00fcs taban\u0131ndan bu imzay\u0131 \u00e7apraz kontrol etme giri\u015fiminde bulundular. Ancak bu imzan\u0131n, belli bir davran\u0131\u015f sergileyen b\u00fct\u00fcn dosyalara verilen sezgisel bir imza oldu\u011fu ortaya \u00e7\u0131kt\u0131. Bu y\u00fczden, Kuzey Kore yap\u0131m\u0131 bu antivir\u00fcs\u00fcn tam olarak hangi k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n bar\u0131nmas\u0131na izin verece\u011fini tespit edemediler. Ancak ara\u015ft\u0131rmac\u0131lar, SiliVaccine geli\u015ftiricilerinin bir dizgi yanl\u0131\u015f\u0131 yapt\u0131\u011f\u0131n\u0131 ve ge\u00e7ersiz bir imzay\u0131 beyaz listeye ald\u0131\u011f\u0131n\u0131 ortaya \u00e7\u0131kard\u0131.<\/p>\n

SiliVaccine y\u00fckleyici dosyas\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 olmasa da Bloomberg\u2019de \u00e7al\u0131\u015fan gazeteciye s\u00f6zde Japon bir m\u00fchendis taraf\u0131ndan g\u00f6nderilen ar\u015fiv dosyas\u0131nda ba\u015fka bir dosya daha bulunuyordu. Dosyan\u0131n ad\u0131, SiliVaccine i\u00e7in bir yama oldu\u011funu ifade etse de metaverilerine g\u00f6re bu dosya Microsoft\u2019un otomatik g\u00fcncellemeleriyle ilgiliydi.<\/p>\n

\"\"

Bloomberg\u2019de \u00e7al\u0131\u015fan gazeteciye gelen ar\u015fiv dosya, DarkHotel APT\u2019ye ba\u011fl\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m da i\u00e7eriyordu<\/p><\/div>\n

Check Point ara\u015ft\u0131rmac\u0131lar\u0131, bu dosyay\u0131 analiz etmi\u015f<\/a> ve dosyan\u0131n ilk defa Forcepoint taraf\u0131ndan 2016\u2019da tespit edilen, Jaku adl\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m oldu\u011funu ortaya \u00e7\u0131karm\u0131\u015ft\u0131r. Forcepoint\u2019in ara\u015ft\u0131rmas\u0131nda sunulan a\u00e7\u0131klamalara g\u00f6re Jaku, Kuzey Kore ile \u015fu veya bu \u015fekilde ba\u011flant\u0131s\u0131 olan ki\u015filere kar\u015f\u0131 kullan\u0131lm\u0131\u015ft\u0131r. Ayr\u0131ca bu yaz\u0131l\u0131m\u0131n, DarkHotel<\/a> ile ba\u011flant\u0131l\u0131 oldu\u011fu da a\u00e7\u0131kt\u0131r. DarkHotel, 2014\u2019te yay\u0131nlad\u0131\u011f\u0131m\u0131z<\/a> bir \u00e7al\u0131\u015fmada faaliyetleri ele al\u0131nan, Korece konu\u015fan bir gruptur.<\/p>\n

Bloomberg\u2019de \u00e7al\u0131\u015fan ve SiliVaccine\u2019i i\u00e7eren iletiyi alan gazeteci, Martyn Williams, s\u0131k s\u0131k Kuzey Kore hakk\u0131nda yaz\u0131lar yazmaktad\u0131r. Bu y\u00fczden ara\u015ft\u0131rmac\u0131lar, ekte antivir\u00fcs g\u00f6nderilmi\u015f bir mailden ibaret olan bu tezg\u00e2h\u0131n Williams\u2019a kar\u015f\u0131 hedefli bir sald\u0131r\u0131 olabilece\u011fini varsay\u0131yor; zaten Williams\u2019\u0131n yaz\u0131lar\u0131, Kore Demokratik Halk Cumhuriyeti liderleri taraf\u0131ndan pek takdir g\u00f6ren \u00e7al\u0131\u015fmalar de\u011fil. SiliVaccine ise b\u00fcy\u00fck ihtimalle daha iyi se\u00e7enekler mevcut olmad\u0131\u011f\u0131 i\u00e7in Kuzey Kore\u2019de kullan\u0131lan ger\u00e7ek bir antivir\u00fcs \u00fcr\u00fcn\u00fc gibi duruyor.<\/p>\n