RedStar OS是朝鲜号称自主研发的国产操作系统,当然谁都知道它是在Linux基础上整编而来的,更适合朝鲜国情,但如果你以为朝鲜只是简单地换个皮肤、预装些软件,那就太低估他们了。
有人研究后发现,RedStar红星系统有一个自己的内核模块“rtscan”,运行着opprc等多个二进制文件,会把自己模拟伪装成某种病毒扫描进程(scnprc),并共享代码。
首先值得关注的一个功能叫做“gpsWatermarkingInformation”,还有其他很多类似的,明显都是获取信息用的。
从名字上就可以看出,gpsWatermarkingInformation是某种水印功能,可以自动为文档、图像甚至音频添加水印。
研究人员创建了一个简单的Docx Word文档,拷贝到U盘里,插入红星系统主机,不作任何操作,然后拔出来。
你猜怎么着?文件的MD5校验值居然变了!
使用十六进制编辑器打开原始文档,可以发现开头部分有大量空白字节,这是Word文件的初始共性,而再次打开被改变的文档并对比,可见同一区域被插入了一堆垃圾数据,就是传说中的水印。
该水印从offset 80开始,占据了32个字节,结束字符串为EOF。
目前还不确认这个水印的具体内容,但似乎是从系统主机提取的相关数据,具有设备唯一性,因而能够用来鉴别身份。