Làm thế nào một ứng dụng công cụ tìm kiếm xã hội ở thành phố Montreal do Montreal sản xuất đã trở thành một phần mềm quảng cáo được phổ biến rộng rãi, đồng thời thoát khỏi hậu quả

Wajam Internet Technologies là một công ty khởi nghiệp được thành lập vào tháng 12 năm 2008 bởi Martin-Luc Archambault (một doanh nhân nổi tiếng ở Quebec) và có trụ sở tại Montreal, Canada. Sản phẩm cốt lõi của công ty là một ứng dụng công cụ tìm kiếm xã hội (nghĩa là nó cho phép tìm kiếm thông qua nội dung được chia sẻ bởi các liên hệ của bạn trên mạng xã hội). Hình 1 minh họa một ví dụ về những gì Wajam hiển thị khi thực hiện tìm kiếm Google.

Hình 1. Kết quả tìm kiếm của Wajam từ một tìm kiếm của Google (ví dụ chính thức từ Wajam)

Bản thân phần mềm được cài đặt miễn phí; tuy nhiên, nó tạo ra doanh thu thông qua việc hiển thị quảng cáo theo ngữ cảnh. Về phân phối, phần mở rộng trình duyệt ban đầu có sẵn từ trang web chính thức của Wajam cho đến năm 2014 (xem Hình 2), nhưng hiện tại nó được phân phối chủ yếu bằng mô hình phân phối Pay-Per-Install (PPI). Theo Văn phòng Ủy viên quyền riêng tư (OPC) của Canada, Wajam đã sử dụng hơn 50 nhà cung cấp PPI khác nhau trong khoảng thời gian từ 2011 đến 2016. Mô hình này đã bị chỉ trích nhiều lần vì sử dụng Adobe giả Flash Player chương trình chống vi-rút và nhiều trình cài đặt phần mềm phổ biến khác để đánh lừa người dùng và vì sự hiện diện nặng nề của phần mềm quảng cáo và phần mềm độc hại trong trình cài đặt được cung cấp.

Hình 2. Trang web wajam [.] com vào tháng 4 năm 2012 (có liên kết tải xuống)

Lịch sử của Wajam với tư cách là một công ty khá tò mò theo báo cáo năm 2017 của OPC và một số cuộc điều tra báo chí ( tại đây tại đây bằng tiếng Pháp):

  • Công ty dần dần và âm thầm loại bỏ khả năng liên kết các tài khoản Facebook, LinkedIn và Google+ với phần mềm của họ từ năm 2012 đến 2014, mặc dù tính năng chính của nó phụ thuộc vào nó.
  • Rất nhiều người dùng bắt đầu phàn nàn từ năm 2012 về việc hiển thị quảng cáo nặng nề trong trình duyệt web và khó khăn trong việc gỡ cài đặt Wajam (xem Hình 3, 4 và 5). Theo D & B Hoovers công ty đã tạo ra khoảng 4.2 triệu USD lợi nhuận ròng trong năm 2013.

Hình 3. Khiếu nại của người dùng # 1 về Wajam

Hình 4. Khiếu nại của người dùng # 2 về Wajam

Hình 5. Khiếu nại của người dùng # 3 về Wajam

  • Trong khi OPC đang điều tra công ty vi phạm Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân (PIPEDA) vì sử dụng thông tin cá nhân của người dùng, công ty đã được bán cho một công ty mới thành lập có trụ sở tại Hồng Kông , được gọi là Iron Mountain Technology Limited (IMTL).

Dòng thời gian trong Hình 6 tổng hợp một số sự kiện đáng chú ý trong lịch sử của công ty.

Hình 6. Lịch sử của Wajam Internet Technologies Incorporated

Song song với lịch sử công ty, Hình 7 hiển thị dòng thời gian của các tính năng chống phát hiện và chống phân tích được thêm vào phần mềm.

Hình 7. Dòng thời gian của các tính năng chống phát hiện và chống phân tích được thêm vào Wajam

Nhiều phiên bản của Wajam đã được phát triển qua nhiều năm. Do các nhà phát triển đã sử dụng tên nội bộ và đánh số phiên bản để phân biệt các biến thể và bản dựng khác nhau, nên có thể phân loại bộ sưu tập các mẫu được thu thập. Bảng sau đây tổng hợp các phiên bản được xác định; lưu ý rằng ngày được dựa trên thời gian các mẫu được quan sát trong tự nhiên và có thể chúng đã có sẵn trước đó.

2016

Tên nội bộ Số phiên bản chính Loại Thời gian phân phối
Priam 1 Phần mở rộng trình duyệt Cuối năm 2011 đến 2014
Wajam Internet Enhancer, Wajam Network Enhancer 2 Ứng dụng Windows 2013 đến 2016
Wajam Web Enhancer, Social2Search 1 và 9 Ứng dụng Windows 2014 đến 2017
Trình cải tiến trình duyệt Wajam, Social2Search, SearchAwgie 3, 11 và 13 Ứng dụng Windows
SearchPage N / A ứng dụng macOS 2017 đến nay

Tiêm giao thông

Mỗi phiên bản của Wajam đều đưa cùng một trọng tải vào lưu lượng truy cập web của người dùng, do đó, sự khác biệt nằm ở kỹ thuật được sử dụng để thực hiện đánh chặn và tiêm. Tuy nhiên, các kỹ thuật họ sử dụng ngày càng giống với các kỹ thuật thường được sử dụng bởi các nhà phát triển phần mềm độc hại. Khi Wajam được cài đặt trên máy và lưu lượng truy cập web đã sẵn sàng để bị chặn, phần mềm sẽ hoạt động như sau:

  1. Nó tải xuống một danh sách các trang web được hỗ trợ (xem Hình 8) từ một máy chủ từ xa; danh sách này ánh xạ một tên miền tới đường dẫn của tệp JavaScript tương ứng sẽ được chèn. Ngoài ra còn có một số cài đặt dành riêng cho trang web.

Hình 8. Đoạn trích của danh sách các trang web được hỗ trợ

  1. Nếu một URL được người dùng yêu cầu khớp với một trong các mẫu (103 trong phiên bản mới nhất tại thời điểm viết), thì nó sẽ tiêm tệp JavaScript tương ứng (xem Hình 9). Tập lệnh này thực hiện việc tiêm quảng cáo theo ngữ cảnh và, nếu trang web là công cụ tìm kiếm, cũng sẽ hiển thị các tweet tương ứng với các từ khóa tìm kiếm được nhập bởi người dùng.

Hình 9. Đoạn trích của tập lệnh được tiêm

  1. Cuối cùng, nó cố gắng cập nhật danh sách từ máy chủ từ xa Wajam.

Rò rỉ thông tin cá nhân

Wajam liên tục thu thập ngày càng nhiều thông tin về người dùng của mình, trong khi cài đặt hoặc khi phần mềm chạy:

  • Một số ID được sử dụng để xác định một người dùng cụ thể (xem Hình 9);
  • Rất nhiều nhật ký được gửi đến máy chủ Wajam trong quá trình cài đặt để đảm bảo nó được thực hiện đúng cách (xem bản chụp mạng trong Hình 10);
  • Một số thông tin cụ thể về thiết lập của người dùng – như danh sách phần mềm được cài đặt và kiểu máy – cũng được gửi đến máy chủ Wajam.

Hình 10. Các truy vấn HTTP được thực hiện bởi Wajam trong quá trình cài đặt

Cơ chế phân phối

Ngoại trừ phần mở rộng trình duyệt, tất cả các phiên bản được phân phối dưới dạng trình cài đặt NSIS bởi các nhà cung cấp Pay-Per-Install. Ngoài ra, các đường dẫn PDB cho thấy các nhà phát triển dần dần làm xáo trộn phần mềm của họ trong những năm qua. Mọi người có thể thấy rằng các phiên bản sau hầu hết có đường dẫn PDB dài hơn nhiều chỉ chứa các ký tự ngẫu nhiên.

[LCJhFhGGbCeCm1swYVpdb

Tê trách

Phiên bản Năm Đường dẫn PDB
1.24 2012 C: Users guillaume Desktop cành Wajam guillaume-cài đặt Khách hàng Tiện ích mở rộng IE_BHO source wajam Release Priam_bho.pdb
1.0 2014 D: jenkins workspace dll_injection src Release wajam.pdb
2.12 d: jenkins workspace wajam-proxy-2.12-Special-build-for-avs WJProxy obj x86 Release WajamI Internet ]
1.71 2016 D: jenkins workspace ổn-1.71-update src Release wajam.pdb
2.40 D: jenkins workspace ổn-2,40-update build-tools brh Release brh.pdb
3.5 D: jenkins workspace ổn-ndi-3.5 service Win32 Release service.pdb
1.75 2017 JTBEFHYO.pdb
9.68 213.pdb
13,14

Priam: phần mở rộng trình duyệt

Đến năm 2011 đến cuối năm 2013, Wajam được phân phối dưới dạng phần mở rộng trình duyệt. Trong tiện ích mở rộng trình duyệt web, tệp kê khai mô tả các trang web sẽ được chèn và cách mã JavaScript được đưa vào các trang đó nếu người dùng truy cập. Như mọi người có thể thấy trong Hình 11, tất cả các trang web được khớp ở đây, do đó, các tập lệnh có thể được chèn vào mọi trang web mà người dùng truy cập.

Hình 11. Đoạn cấu hình từ manifest.json

Các phiên bản cũ hơn của tiện ích mở rộng trình duyệt chứa dấu vết của plugin chụp màn hình (xem Hình 12) trong một DLL đi kèm với tiện ích mở rộng. Loại thứ hai sử dụng API Plugin Netscape (cho Chrome và Firefox) hoặc Đối tượng trợ giúp trình duyệt (cho Internet Explorer).

Hình 12. Đoạn mã lắp ráp trong một plugin của tiện ích mở rộng trình duyệt Wajam

Trong các phiên bản tương tự, mã JavaScript được sử dụng để gửi các dấu trang của trình duyệt đến các máy chủ Wajam. Cho dù đó là ảnh chụp màn hình hoặc dấu trang, cả hai đều có thể chứa thông tin cá nhân nhạy cảm về người dùng và người ta có thể tự hỏi Wajam làm gì với loại thông tin này. Không có chức năng nào hiện diện trong phiên bản hiện tại của tiện ích mở rộng.

Vì phần mềm của họ được phát hiện là phần mềm quảng cáo bởi các sản phẩm bảo mật khác nhau, Wajam trước tiên đã cố gắng loại bỏ các phát hiện bằng cách hỏi trực tiếp các nhà cung cấp bảo mật (xem Hình 13 và 14).

Hình 13. Cố gắng của Wajam để loại bỏ phát hiện McAfee của tiện ích mở rộng trình duyệt

Hình 14. Một nỗ lực khác của Wajam để loại bỏ phát hiện phần mở rộng trình duyệt của họ

WJProxy

Năm 2014, chúng tôi đã quan sát thấy một sự thay đổi trong chiến lược của Wajam. Phần mềm của họ không còn có sẵn như là một phần mở rộng trình duyệt; các liên kết tải xuống của nó đã bị xóa khỏi trang web chính thức của họ (wajam [.] com) và một phiên bản mới cho Windows, sử dụng proxy web Fiddler được phân phối bởi các nhà cung cấp PPI.

Trong số các tính năng của phiên bản mới này, những tính năng đáng chú ý nhất là:

  • Nó sử dụng SeDebugPriv đặc quyền để bắt đầu thực thi chính với quyền truy cập của quản trị viên.
  • Nó tạo chứng chỉ và thêm nó vào danh sách chứng chỉ gốc để chặn lưu lượng SSL / TLS và do đó tránh được các cảnh báo bảo mật khi tiêm mã JavaScript vào các trang web.
  • Nó thiết lập một proxy để chặn tất cả lưu lượng truy cập web và các tùy chọn của trình duyệt web đã cài đặt và sổ đăng ký Windows bị giả mạo để sử dụng proxy.

Wajam trong tưởng tượng Warhammer

Đồng thời quan sát thấy WJProxy, một phiên bản khác có khả năng tiêm DLL được tìm thấy trong tự nhiên. Thay vì sử dụng proxy của bên thứ ba, nó tiêm DLL vào trình duyệt web để nối các chức năng thao túng lưu lượng không được mã hóa. Hình 15 mô tả kiến ​​trúc chức năng của phiên bản này.

Hình 15. Kiến trúc của Warhammer Wajam

Thật thú vị, phiên bản này sử dụng một số kỹ thuật che giấu như mã hóa chuỗi (xem Hình 16 và 17).

Hình 16. Giải mã chuỗi NtLoadDriver (đầu ra Hex-Rays)

Hình 17. Quy trình giải mã chuỗi (đầu ra Hex-Rays)

Ngoài ra, các tệp chứa danh sách các trang web được hỗ trợ và địa chỉ của các hàm cần nối (xem Hình 18) đều được mã hóa (AES-256 CFB). Người ta có thể lưu ý rằng tên của các tập tin này (tương ứng waaaghs snotlings ) có thể là một tham chiếu đến vũ trụ giả tưởng Warhammer . Ngoài ra còn có các chuỗi (phụ) khác, chẳng hạn như trong tên của DLL được tiêm, wajam_goblin.dll và các chuỗi khác trong các nhị phân, cho thấy các tác giả của Wajam phe quan tâm đến các trò chơi giả tưởng hoặc viễn tưởng.

Hình 18. Tệp có chứa các móc của trình duyệt web Chức năng

Liên quan đến quá trình tiêm DLL, nó có thể đạt được theo các cách khác nhau tùy thuộc vào tham số được cung cấp cho người tiêm. Bảng sau đây tổng hợp các tùy chọn khác nhau.

Sau khi DLL được tiêm, người tiêm kiểm tra xem quy trình được nhắm mục tiêu có phải là trình duyệt web hay không và nếu sử dụng MinHook và tệp snotlings đã giải mã để móc các chức năng thao tác không mã hóa lưu lượng truy cập web như Firefox PR_Write PR_Read API Win32 gửi recv v.v.

Vì các kỹ thuật được mô tả ở trên thường được sử dụng bởi phần mềm độc hại, Wajam sử dụng một số kỹ thuật để bảo vệ bản thân khỏi bị phát hiện bởi các sản phẩm bảo mật:

  • Nó kiểm tra sổ đăng ký Windows để tìm các khóa chống vi-rút (xem một ví dụ liệt kê trong Hình 19) và gửi bất kỳ thứ gì nó tìm thấy đến các máy chủ của Wajam.

Hình 19. Khóa đăng ký Windows của Antivirus được kiểm tra bởi Wajam

  • Tùy thuộc vào mẫu, tên của tệp thực thi được sửa đổi một chút, chẳng hạn như Wajwehance.exe WaCHn.exe WebEnhancer.exe ]v.v …
  • Từ cuối năm 2015, trình điều khiển minifilter được bao gồm để ẩn các tệp phần mềm trên đĩa khỏi tất cả các quy trình ngoại trừ các quy trình được liệt kê trong danh sách trắng (xem Hình 20).

Hình 20. Danh sách các quy trình được liệt kê trong danh sách trắng cho trình điều khiển minifilter Wajam

  • Nó thường xuyên tự sửa đổi bằng các bản vá được tải xuống từ các máy chủ Wajam (đây là các mã RC4 hoặc XOR khác nhau).

Chrome Firefox gần đây đã chặn việc tiêm mã của bên thứ ba trong trình duyệt web tương ứng của họ, vì vậy phiên bản Wajam này sẽ không hoạt động nữa nếu nạn nhân sử dụng phiên bản hiện tại của một trong hai trình duyệt này.

Wajam đi sâu hơn vào nhân

Để đối mặt với các cơ chế bảo mật mới, một phiên bản khác của Wajam đã được phát hành vào giữa năm 2016 có thêm các tính năng mới đáng kể, bao gồm trình điều khiển NetFilter để chặn và bơm lưu lượng truy cập trực tiếp vào không gian kernel.

Hình 21. Kiến trúc của phiên bản Wajam NetFilter

Một trong nhiều thay đổi khác với phiên bản này là bảo vệ chống phát hiện:

  • Nó sử dụng mã dữ liệu và mã hóa dữ liệu nặng (xem Hình 22 và 23); một số kỹ thuật trông giống như Stunnix obfuscator C / C ++.

Hình 22. Giải mã tên API Windows (đầu ra Hex-Rays)

Hình 23. Quy trình giải mã chuỗi (đầu ra Hex-Rays)

  • Thêm loại trừ vào Windows Defender ( -command Add-MpPreference -ExinatingPath trong dòng lệnh);
  • Đặt các mục đăng ký DontReportInfectionIn information Dont OffererThroughWUAU thành 1 để vô hiệu hóa báo cáo lây nhiễm sang Microsoft và MSRT (Công cụ loại bỏ phần mềm độc hại)
  • Các tệp thực thi được ký bởi các chứng chỉ có tên là tên miền thuộc về Wajam và thay đổi rất thường xuyên (xem Hình 24 và 25).

Hình 24. Chứng chỉ kỹ thuật số của một thực thi Wajam được tìm thấy trên VirusTotal

Hình 25. Chứng chỉ kỹ thuật số của một Wajam thực thi khác được tìm thấy trên VirusTotal

Những tên miền đó là thương hiệu của Wajam theo Đăng ký doanh nghiệp Quebec (xem Hình 26). Ngoài ra, một số tên miền (ví dụ khác trong phần IoC) có liên quan đến tên đường phố Montreal (như Hồi Adrien Provencher,, Bernard Bernard,, Hồi Mont-Royal, v.v.).

Hình 26. Đăng ký doanh nghiệp Quebec với một số tên miền Wajam

SearchPage: Wajam có hương vị của Apple

Bắt đầu từ năm 2017, phần mềm quảng cáo mới do Wajam viết là SearchPage và nhắm mục tiêu các hệ thống macOS đã được phát hiện. Phân tích cho thấy rằng nó đã sử dụng một số tên miền cũng được sử dụng trong các phiên bản Windows mới nhất (xem Hình 24).

Hình 27. Đoạn trích của Info.plist hiển thị tên miền đã đăng ký Wajam

Nó được phân phối dưới dạng gói ứng dụng macOS có tên spiinstall.app cài đặt plugin Safari và chứng chỉ trong khóa (trình giữ chỗ chứng chỉ gốc trên macOS). Plugin này tiêm lưu lượng truy cập theo cách tương tự như các phiên bản Windows.

Một phiên bản khác được tìm thấy vào giữa năm 2018 sử dụng mitmproxy (một proxy web được viết bằng Python) thay vì tiện ích mở rộng Safari để chặn lưu lượng truy cập web. Hình 28 cho thấy cách sử dụng proxy cũng như sự hiện diện của URL được đăng ký Wajam được mã hóa cứng trong tập lệnh.

Hình 28. Sử dụng mitmproxy để tiêm JavaScript

Vì phần mềm độc hại này đã được MalwareBytes ghi lại, các chi tiết khác có thể được tìm thấy trong phân tích của họ .

Nghiên cứu này cho thấy rằng mặc dù đã chuyển quyền sở hữu cho một công ty Hồng Kông, Wajam vẫn hoạt động rất tích cực và dưới nhiều tên, như SearchAwgie, Social2Search, SearchPage, v.v. Chúng tôi cho rằng điều này được sử dụng để che dấu vết của họ và mở rộng sự hiện diện với sự giúp đỡ của phân phối PPI.

Phân tích của chúng tôi cho thấy các kỹ thuật được Wajam sử dụng để tăng lưu lượng truy cập ngày càng trở nên lệch lạc và dai dẳng hơn khi các phiên bản mới hơn được phát hành. Họ bắt đầu với một phần mở rộng trình duyệt đơn giản (2011), chuyển sang phương thức proxy vào cuối năm 2013, sau đó từ năm 2014, họ đã trực tiếp tiêm mã vào trình duyệt web để nối các chức năng liên lạc mạng và hiện đang sử dụng trình điều khiển để chặn lưu lượng truy cập trực tiếp trong kernel không gian. Những thay đổi này phần lớn là để đáp ứng với các cải tiến trong các biện pháp bảo vệ được tích hợp trong trình duyệt hoặc HĐH trong những năm qua.

Sử dụng các loại kỹ thuật này ngụ ý có cơ hội được phát hiện bởi các sản phẩm bảo mật và điều này đã xảy ra với Wajam. Ngay cả khi lịch sử của công ty cho thấy lần đầu tiên họ cố gắng yêu cầu xóa phát hiện (2012-2013), họ đã nhanh chóng thay đổi chiến lược (2014) để ưu tiên sử dụng kỹ thuật che giấu, bảo vệ mã và chống phát hiện để che giấu hành vi thực sự của phần mềm của họ.

Trường hợp Wajam nhắc nhở chúng ta vẫn còn một vùng màu xám khi nói về phần mềm quảng cáo và PUAs (Ứng dụng không mong muốn tiềm tàng). Thật vậy, ngay cả khi họ sử dụng các kỹ thuật để che giấu hành vi của họ khỏi người dùng và các sản phẩm bảo mật, việc hiển thị quảng cáo vẫn gây khó chịu hơn là có hại cho người dùng. Tuy nhiên, người ta nên biết về mức độ bền bỉ được sử dụng bởi một số phần mềm này.

Băm

SHA-1 Tên phát hiện
6a393ecb2861a27240d322dd407f6adb7218b0a5 Win32 / Adware.Wajam.A
4793f3bdab6df0ac6481b3780a10bec0ac10dce1 Win32 / Phần mềm quảng cáo.Wajam.BH
7a45f4c7a7eeaa6ef97c036a7bfc992d405cd270 Win32 / Phần mềm quảng cáo.Wajam.G
89d03d810345f491e7999af04873932ce77f7cd1 MSIL / Wajam.F
f0c78bece6e447333bcb21972dc440aee723f12d Win32 / Phần mềm quảng cáo.Wajam.AC
b6733a21f5fbf34286374ed5cd02e86b6c369db1 Win32 / Phần mềm quảng cáo.Wajam.BH
3d29d74b68d749d45596eb04063c4640a523c0ba Win32 / Phần mềm quảng cáo.Wajam.BH
f216d986f3fdc838aaca05fafb8e5b728e36513b Win32 / Phần mềm quảng cáo.Wajam.AN
34ce5529ad0f9d0101f2ca635876082830b48b83 Win32 / Phần mềm quảng cáo.Wajam.AL
f5f71c6f6924fa94eb1f5a8c4a4b1775d64e9e87 Win32 / NetFilter.A
336efd61ab265977144ca308e635cfbee29b86a8 Win32 / NetFilter.N
a61a9262bc13c023750af89a483cb571663c8a0e Win32 / Phần mềm quảng cáo.Zdengo.CA
83e05c610d0fe6488183b7db812c69962180aabb Win32 / Phần mềm quảng cáo.Zdengo.CPZ
ae97c477f804121185f3c9f44c22934941df7e94 Win64 / Riskware.NetFilter.AA
6da090ad4a324e12b03a492b62cb47d274b3cd6e Win32 / Phần mềm quảng cáo.Zdengo.DED
35530aa44220ae7e96de05fd90dd1e64bb6cd199 Win32 / Phần mềm quảng cáo.Zdengo.COT
6b626695d5d1c64376af81cef441e17cdc92f006 Win32 / Phần mềm quảng cáo.Zdengo.CXG
6725a7c721bea20494e2e6036b11bb6d0531f829 Win32 / Phần mềm quảng cáo.Zdengo.CRR
fb26f538384cd50988a2a5f27b6443f16a92cee1 Win32 / RiskWare.NetFilter.AY
ecd1e57c1fdc32052f0be1241691e91f869ef026 OSX / Phần mềm quảng cáo.SearchPage.B
ff6c756fc3cfa06c53fe9458d7608c7c350c83bb OSX / Phần mềm quảng cáo.SearchPage.B
fea551bcfbdbaba20b0b6556649029928888faf2 OSX / Phần mềm quảng cáo.SearchPage.A

Phạm vi địa chỉ IP

217.182.14.0/24
131.153.5.192/29
198.24.161.72/29

Tên miền (danh sách một phần)

adrienprovenchert Technology [.] com
arm
com ] chaumonttĩ [.] com
thuộc địa -dashboard [.] tech
jeanlesagetetin nghệ
[.] com
thông báo-kết quả [.] com
thông báo-trang [.] com
dịch vụ thông báo [.] thông tin
thông báo-dịch vụ [.] ] đồng m
premiumsearchhub [.] com
premiumsearchresults [.] com
premiumsearchtech [.] com
prevertt Technology [.] com [.][.] com
công nghệ tìm kiếm [.] net
searchawemme-apps [.] com
searchawemme [.] net
searchawemme2 [.] searchandfind [.] com
searchfeedtech [.] com
searchforall [.] net
searchforall [.] net
searchforfree [.] results [.] com
searchpage-results [.] net
searchpage [.] com
searchpageresults [.] com
searchsymphony [.] securesearch [.] xyz
seekoutresultz [.] com
sirwilfridlauriert Technology [.] com [1 9459173] social2search [.] com [.] com [t[.] com
technologiedollard
technologiedollard [.] com com
technologielaurier [.] com
technologiemansac [.] com
technologiemontroyal [.] com
technologiemounac [.] 9459191] com
Technologieprere com
Technologiesifflaurent [.] com [.] com

technologiestuart [.] com
com
technologietazo [.] com
com

technologieyvonlheureux [.] com
travassact Technology [.] com
trudeautotech [.] com
wajam-download [.] com

9004]
Chiến thuật ID Tên Mô tả
Sự kiên trì T1179 Hooking chặn lưu lượng truy cập web.
Thoát khỏi đặc quyền T1134 Truy cập mã thông báo truy cập bằng cách sử dụng chính nó bối cảnh của người dùng.
Evasion Defense T1014 Rootkit Sử dụng minifilter và NetFilter giao thông.
T1116 Ký mã Một số mẫu được ký với các chứng chỉ kỹ thuật số khác nhau.
T1089 Vô hiệu hóa các công cụ bảo mật Thêm loại trừ trong Windows Defender và vô hiệu hóa các cập nhật của tàu điện ngầm.
T1130 Cài đặt chứng chỉ gốc Cài đặt chứng chỉ gốc để hỗ trợ các hành động trung gian.
T1027 Các tập tin hoặc thông tin bị che khuất AES-256 hoặc RC4.
T1055 Process Injection Inject a DLL in web browsers (CreateRemoteThread, SetWindowsHookEx or BlackBone library) to intercept web traffic.
Discovery T1063 Security Software Discovery Attempt to detect several antivirus products.





nguon http://feedproxy.google.com/~r/eset/blog/~3/HujQ5NGPGVU/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây