来自 应用 2021-06-14 15:07 的文章

高防ddos_香港高防服务器选择科森网络专业_免费试用

高防ddos_香港高防服务器选择科森网络专业_免费试用

臭名昭著的macOS广告软件骚扰SearchMine最近有了一个小但有趣的更新,因为它继续困扰macOS用户浏览器劫持,搜索重定向和系统减速。SearchMine这个名字指的是一个特定的浏览器劫持者,但它很少单独运行,通常会被安装在其他潜在不需要的应用程序、广告软件产品、捆绑安装程序以及粗略的"cleaner"或伪AV软件(如高级Mac cleaner和Mac Cleanup Pro)旁边由于SearchMine已经存在了相当长一段时间了,即使是遗留的安全软件也会检测到SearchMine的某些版本以及其家族的其他元素,比如"Bundlore"、"Crossrider"和"Bnodlero"。然而,这种破坏资源和损害用户生产力的麻烦背后的开发人员总是在寻找新的方法来保持、重新影响和逃避检测。在这篇文章中,我们讨论了SearchMine最近的一个变化,并描述了广告软件如何收集和上传详细的设备信息到自己的服务器上,ddos防御linux,尽管它似乎对这些数据本身没有什么用处。我的广告是什么?SearchMine是一个更大的广告软件家族的一部分,它以"MyCouponSmart"、"MyMacUpdater"、"MMInstall"等品牌进行传播。SearchMine组件的主要目的是将用户的搜索流量重定向到www[.]SearchMine[.]net上自己的登录页面。该广告软件主要是感染Safari和Chrome浏览器,但Firefox也成为一些感染的目标使SearchMine特别关注企业安全的不仅仅是对员工的讨厌价值、对资源和生产力的消耗,还包括广告软件收集和过滤有关主机的大量信息。这包括一个唯一的机器ID、操作系统和浏览器的版本、已安装应用程序、全局启动代理和启动守护程序的列表,有趣的是,苹果的已安装版本地铁应用程序(恶意软件删除工具.app).虽然在我们的测试机器(如下所示)中,由于我们只使用了一个简单的虚拟机,但在企业设备上,这可能包含更多有趣的数据。安装的应用程序、代理程序和守护程序的列表对于威胁参与者来说是很有价值的,因为它既可以指出利用易受攻击软件的可能性,也可以指出计算机是否包含可以捕获恶意软件的安全软件。这些特定的广告软件开发者为什么对收集和输出这些信息感兴趣还不得而知,但至少有一个原因可能是在达克内特论坛或其他数字市场上向其他威胁参与者出售这些信息。从安全角度考虑这个广告软件有害程序的其他原因包括,它还请求提升的安装特权,然后修改sudoers文件,以允许当前用户以root用户身份运行而无需进一步的密码挑战。当某些人争论广告软件是否真的是恶意软件时,我们发现这样的行为模糊了界限,以至于至少从企业的角度来看,这是一个真正无关紧要的区别。Shlayer和其他恶意软件木马如何感染macOS向Phil Stokes学习如何区分真正的Adobe Flash播放器和假的Flash播放器现在就看UpdateMac–SearchMine的最新更新机制与大多数商品广告软件和恶意软件一样,SearchMine利用多个启动代理和启动守护程序来实现持久性。它还通常会安装用户级配置文件来锁定Chrome和Safari首选项,这样无论用户在浏览器中为主页和首选搜索引擎设置了什么,这些都将被安装的Profile.mobileconfig文件确定的全局管理首选项覆盖。SearchMine的一个用户启动代理通常有以下程序参数,其中User1是当前用户的短名称。请注意,所指向的可执行文件(在本例中为MyMacUpToDate)位于~/Applications的非标准位置,关闭ddos防御,而不是/Applications。base64解码如下。在最近的一次事件中,ddos防御模式,我们注意到该文件和更新的第二个LaunchAgent,cdn节点防御DDoS,其形式如下:同样,请注意非标准应用程序文件夹的位置,ddos攻击可以防御吗,以及sudo的-E标志。此标志表示程序应该在保留用户现有环境变量的情况下启动,这本身就意味着可执行文件很可能是一个shell脚本(越来越受到macOS威胁参与者的青睐),而不是应用程序或machO可执行文件。在进一步的研究中,我们发现UpToDateMac确实是一个shell脚本,它大量使用环境变量,并且还有一些值得注意的有趣特性。深入研究最新的mac Shell脚本尽管shell脚本的一个副本在用户的机器上被阻止并删除,但是在VirusTotal上快速搜索返回了一个在2月初上传的副本。4AB52DD99ECF269CF74FF93342015年12月AD0184659BA848FD762DABC650E00A575关于这个脚本,我们注意到的第一个有趣的特性是它包含了一个kill机制。如果脚本在~/Library/Application Support/中找到文件名为.upd2006的0字节文件,它将中止其恶意行为。如果文件不存在,则脚本使用touch写入文件并继续执行然后,该脚本根据Mac的序列号创建MD5散列,并收集Safari和Chrome浏览器的版本号。充分利用LOLBins(依靠Land二进制文件生存),然后脚本通过curl下载一个概要文件模板,用sed stream文本编辑实用程序修改它,并用native profiles命令安装它。如前所述,这有助于锁定用户的浏览器,以便他们无法在浏览器中更改主页和其他首选项。在其他旨在更新安装的操作中,该脚本继续收集用户计算机上的应用程序列表、概要文件、启动代理、启动守护程序和MRT版本的列表。然后将整个束连接起来,并以JSON格式上传到mmp[.]myshopcuponmac[.]com域。尽管这个域名显然是在2018年注册的,但关于它的细节却少之又少。它运行在Ubuntu服务器上的nginx旧版本上(讽刺的是)易受攻击。然而,也许同样不足为奇的是,在过去的几个月里,这个域在VirusTotal上被查询了几十次。结论在这篇文章中,我们快速浏览了Mac最流行的浏览器劫持者之一SearchMine及其相关广告软件MyShopcoupon和朋友的最新更新。企业安全的关键要点是要意识到,这些参与者不仅让您的用户恼火并影响他们的工作效率,他们还以启动代理和启动守护程序的形式收集有关网络上设备、安装的应用程序和合法持久性机制的详细信息因为这样的信息已经超出了仅仅通过浏览器重定向赚钱的第一要务,看起来参与者可能正在利用这些信息构建一个数据湖,大概是为了在未来的道路上将其货币化。虽然在研究层面上,区分"恶意软件"和"广告软件"有一定的实用性,但在端点级别,它们都代表着对组织完整性的损害。防止设备数据最终落入罪犯手中的关键是首先要防止此类恶意软件在您的端点上执行。如果您想了解SentinelOne平台如何保护您的组织免受广告软件、恶意软件和其他威胁,请立即联系我们或请求免费演示样品SHA 256:4AB52DD99ECF269CF74FF93342015年12月AD0184659BA848FD762DABC650E00A575妥协指标~/Library/Application Support/.upd2006~/Library/LaunchAgents/com.MyMacUpToDate.agent~/库/启动代理/com.updatemac.upd网站.代理.plist~/Applications/MyMac更新~/Applications/UpToDateMac/UpToDateMac网址mmp[.]myshopcouponmac[.]com请求[.]mymacuptodate[.]com/macCheckForUpdates像这篇文章?在LinkedIn、Twitter、YouTube或Facebook上关注我们,查看我们发布的内容。阅读有关网络安全的更多信息在家工作|如何安全使用变焦、松弛和其他远程软件展望冠状病毒的光明面:对中低端犯罪分子和供应商的影响企业员工| 11件在工作(或家中)不应该做的事情COVID-19爆发|防范恐惧、不确定性和怀疑心理macOS恶意软件研究人员|如何绕过Catalina上的XProtectCOVID-19暴发|员工在家工作?是时候准备了心理游戏|赎金券的进化心理学