需要水果手机自查的Triangledb间谍软件检测规则

admin 2024年5月18日16:22:25评论22 views字数 772阅读2分34秒阅读模式

前段时间军工保密资格审查认证中心公众号发布《苹果手机用户自查TriangleDB间谍软件参考步骤》一文,笔者通过其方法测试,发现安全厂商卡巴斯基所提供的检测软件兼容性稍差,故寻找到相关样本并参阅卡巴斯基相关分析报告提取出相关特征码,形成yara规则,分享如下供有需求者检测苹果手机是否被植入间谍软件使用。前期数据提取工作请阅读苹果手机用户自查TriangleDB间谍软件参考步骤

需要水果手机自查的Triangledb间谍软件检测规则

需要水果手机自查的Triangledb间谍软件检测规则

yara工具下载链接:http://virustotal.github.io/yara/

Yara

rule SPYWARE_Triangledb_A{    meta:        description = "Triangledb group"        author = "virk"        thread_level = 10        in_the_wild = true    strings:    $a = {5A 07 00 91 F9 03 00 AA 7F 03 17 EB 62 02 00 54 A8 02 1B 8B 09 01 40 39 A9 C3 19 38 08 05 40 39 A8 D3 19 38 A0 93 01 D1 A1 83 01 D1 02 02 80 52 9B 65 01 94 A8 03 5A F8 1F 01 1C EB A0 02 00 54 7B 0B 00 91 DA FD FF B4 08 00 19 4A C8 6A 3A 38 EC FF FF 17}    condition:        uint32(0) == (0xFEEDFACF) and (uint32(0x4) == 0x0100000c) and $a}

需要水果手机自查的Triangledb间谍软件检测规则

hash:

063DB86F015FE99FDD821B251F14446D7AC0928608720D75EC9347C2F8D385A6

参考内容:

Dissecting TriangleDB, a Triangulation spyware implant | Securelist

原文始发于微信公众号(锐眼安全实验室):需要水果手机自查的Triangledb间谍软件检测规则

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月18日16:22:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   需要水果手机自查的Triangledb间谍软件检测规则https://cn-sec.com/archives/2040336.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息