记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

分析朝鲜红星操作系统的水印

2015-07-20 13:25

分享到:

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad6737dba8038f1ad8f1ba4c0e27ba2d8cdba1e799c8da6b65a9f8f92fbd0ce93a0.jpg

在上几个月期间有信息表明朝鲜的其中一个操作系统被泄露。它是基于linux的系统,模拟Mac的样式以及其给我们带来的体验。

它的特性已经在多个博客文章和新闻中讨论到。我们将简要地了解该系统。该博客文章含有观察到的结果的一部分。

正如你可以想象到的,对我们来说最有趣的是研究其对用户隐私的影响。有一部分公开的文章介绍了该系统的安全性,但是该文章不会涉及到这方面的内容我们将着手于在该文章中已证实的隐私问题。因为ERNW已经有了“Making the World a Safer Place”的源远流长历史,我们会重点讨论该主题。潜在的用户(特别是来自朝鲜的)隐私可能被影响,并且我们认为对于大众来说得出的结果必须是有效的。因此,我们继续...

当分析内核时,我们首先注意到的是其命名为rtscan的内核模块。这里,被命名为opprc的二进制程序正在运行并且还有一些其它的程序,它们好像是模拟一些类型的“virus scanner” (scnprc) 的程序,并且它们也会和opprc共享一些代码。在该博客文章中我们将关注opprc ,因为对我来说它是最有趣的二进制程序之一。

二进制程序中,首先值得我们注意的是gpsWatermarkingInformation函数。当然还有许多听起来很有趣的函数你可以从下面的图片中了解一些简要信息。

http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d527287da36066c5e03dfbc67353485fcedb4d1436049533b5f7e0b8870c9b69c4167.jpg

同时它好像带有一些水印功能如果我们仔细观察涉及到AES加密的函数那么从那些函数中我们也会看到用于文档,图片甚至是音频的水印。通过观察二进制程序我们可以了解到经典的word文档,它在文档列表中。因此我们将尽量试试并创建简单的DOCX文件,其在一个USB驱动上并且已将驱动器附加到的RedStar系统。文件的MD5校验值被篡改。我们不打开包含了“Sogwang Office”的文件也不去随意理睬它,它仅被简要地更改以让它在该系统能正常工作。现在一个DOCX文件是基于一个zip的,其包含多个文件。如果你用hex编辑器观察DOCX文件,你将了解到该文件起始部分的大量区域被null字节填充。通过在某个文件中观察同样的区域(被传递到RedStar中),我们了解一些被插入到文件的一些垃圾数据。

下一张图片展示了用hexdiff对在它被传输到RedStar之前和传输之后文件的变化情况。我们可以了解到如下:上一级部分是原文件的起始部分并且下一级部分是被传递到RedStar系统的文件的起始部分。污点文件在偏移80 的位置上带有水印并且其水印是32字节长的。水印以字符串"EOF“结束。

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c18a48b7be90291f7d80044a1d208c8775864751e88c342e480076eaa2f1a4066.jpg

我们仍然需要理解水印的内容,但其数据好像是从主机的硬件信息中提取出来的。记住它不仅应用于经典的Word文件而且应用于朝鲜的Hangul 文档处理程序以及所有媒体文件(如音频)和图片。音频文件水印由自定义的过滤程序创建。系统好像可以保持对在系统上打开的文件的跟踪。这让其很容易地跟踪已经创建了该文件并将其打开的系统。对隐私的关注是我们正面临的一个重要问题

总结:

如果你住在朝鲜,在RedStar系统上创建并使用媒体文件和文档可让我们遇上麻烦。不要设想使用文件可以保护自己的隐私也注意不要被创建者跟踪了!

我们谢谢Iltaek 给予我们的帮助以及将朝鲜文翻译成英语的一些物件。那已经帮助我们很多了。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.insinuator.net/2015/07/redstar-os-watermarking/

知识来源: bobao.360.cn/learning/detail/533.html

阅读:78898 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“分析朝鲜红星操作系统的水印”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云