前段时间军工保密资格审查认证中心公众号发布《苹果手机用户自查TriangleDB间谍软件参考步骤》一文,笔者通过其方法测试,发现安全厂商卡巴斯基所提供的检测软件兼容性稍差,故寻找到相关样本并参阅卡巴斯基相关分析报告提取出相关特征码,形成yara规则,分享如下供有需求者检测苹果手机是否被植入间谍软件使用。前期数据提取工作请阅读《苹果手机用户自查TriangleDB间谍软件参考步骤》。
yara工具下载链接:http://virustotal.github.io/yara/
Yara
rule SPYWARE_Triangledb_A
{
meta:
description = "Triangledb group"
author = "virk"
thread_level = 10
in_the_wild = true
strings:
{5A 07 00 91 F9 03 00 AA 7F 03 17 EB 62 02 00 54 A8 02 1B 8B 09 01 40 39 A9 C3 19 38 08 05 40 39 A8 D3 19 38 A0 93 01 D1 A1 83 01 D1 02 02 80 52 9B 65 01 94 A8 03 5A F8 1F 01 1C EB A0 02 00 54 7B 0B 00 91 DA FD FF B4 08 00 19 4A C8 6A 3A 38 EC FF FF 17} =
condition:
= (0xFEEDFACF) and (uint32(0x4) == 0x0100000c) and $a =
}
hash:
063DB86F015FE99FDD821B251F14446D
7AC0928608720D75EC9347C2F8D385A6
参考内容:
Dissecting TriangleDB, a Triangulation spyware implant | Securelist
原文始发于微信公众号(锐眼安全实验室):需要水果手机自查的Triangledb间谍软件检测规则
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论