g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Leifeng.com'a göre: 1 Haziran'da, tanınmış güvenlik şirketi CheckPoint, Çinli bir şirket tarafından kontrol edilen sahte yazılım "Fireball" keşfedildi ve çok sayıda kurbanı olduğu için yabancı güvenlik kurumlarının dikkatini çekti. . Tinder güvenlik laboratuvarı olay örneğini ve konuyu derhal analiz etti. Bu makale, Leifeng.com tarafından yetkilendirilen, olayın ayrıntılı bir analizidir.

1. Özet

"Fireball" olayında, Tinder güvenlik ekibi, Mustang tarayıcısı ve Deal Wifi yazılımı da dahil olmak üzere 8 tür hileli yazılım keşfetti. Bu hileli yazılımlar bilgisayara bulaştıktan sonra, Chrome tarayıcısının ana sayfası ve SEKME sayfası rastgele oluşturulmuş aramalarla değiştirilecek. Sayfa ve kullanıcı bunu değiştiremez. Sayfalar farklı olsa da, arama sayfaları Yahoo ve Google verilerini yakalıyor. Tinder güvenlik ekibi, hileli yazılım üreticilerinin, kar elde etmek için Yahoo ve Google'ın reklamlarını tıklamaları için kullanıcıları kontrol ettiğini düşünüyor.

Rogue yazılımı, yükleme sırasında bilgisayarda bir Chrome tarayıcısı olup olmadığını tespit edecektir. Yoksa, sorun olmayacaktır. Varsa, kullanıcıdan bir Chrome eklentisi yüklemesini isteyecektir. Yazılım, eklenti olmadan yüklenemez.

Bu yazılımlar Qingye Technology ve Parkson Technology gibi yerel şirketlerden gelmesine rağmen, Tinder güvenlik ekibi, hepsinin aynı yazar "baoyu430@gmail.com" tarafından üretildiğini izleyerek buldu. Yazar, farklı web sitelerini kaydetti ve bir grup hileli yazılım üretti.

Bu yazılımlar yalnızca Chrome tarayıcısına saldırır, ancak Chrome tarayıcısının yurtdışındaki pazar payı dikkate alındığında, "Fireball" olayı büyük bir etkiye sahip olarak tanımlanabilir ve yerli Chrome kullanıcıları da rehin tutulabilir.

Kullanıcılar, bu hileli yazılımları kaldırarak Chrome tarayıcı ayarlarını geri yükleyebilir. Şu anda, Tinder güvenlik yazılımı, "Fireball" olayında yer alan hileli yazılımların tespit edilmesini ve öldürülmesini de tam olarak desteklemektedir.

Yabancı ülkelerde "Ateştopu" olayı patlak vermesine rağmen, Çin'de uzun süredir "suç yöntemleri" yaygın olan yerli siber suç yöntemlerinin uluslararası alanda yaygınlaştığı görülmektedir.

2. Olay analizi

Son FireBall olayında, ilgili yazılım Chrome tarayıcısının ana sayfasını ve yeni sekme sayfasını ele geçirdi. Tinder takibinin ardından, aşağıdaki şekilde gösterildiği gibi, bu olaya daha fazla yazılımın dahil olduğu bulundu:

Kötü amaçlı yazılım listesi

Örnek olarak "Deal WiFi" yazılımını ele alalım. Kurulum aşağıdaki şekilde gösterilmektedir. Kullanıcı "mystart.dealwifi.com'u krom ana sayfanız ve newtab olarak ayarla" seçeneğini işaretlemezse, kurulum devam edemez. Aşağıda gösterildiği gibi:

Kontrol ettikten sonra, "DealWiFi" kurulum sürecini izlemek için Tinder Sword'u kullanın, aşağıdaki şekilde gösterildiği gibi, programın arka planda bir Chrome eklentisi kurduğunu görebilirsiniz:

Eklenti, aşağıdaki şekilde gösterildiği gibi Chrome'un ayarlar arayüzünü "ele geçirecek":

Hijack Chrome ana sayfası ve yeni sekme oluşturma sayfası

Aşağıdaki şekilde gösterildiği gibi, Chrome tarayıcısının ana sayfası hxxps: //mystart.dealwifi.com/? Type = apps olarak değiştirildi:

Saldırı ara

Bu hileli programların yükleme süreci aynıdır ve yüklenen yazılımla aynı adı taşıyan bir Chrome eklentisi yüklenmeye zorlanacaktır. Bu eklentilerin işlevleri tamamen aynıdır. Ana sayfanın ve yeni sekme sayfasının URL'sini kilitlerler. "Soso Desktop" adlı sahte yazılım da varsayılan arama motorunu değiştirilmeye zorlar.

Ana sayfa promosyon numarasına sahip bir kilit eklemenin genel yerel yönteminden farklı olarak, virüs eklentisi tarafından kilitlenen arama sayfası, aşağıdaki tabloda gösterildiği gibi yüklü hileli yazılıma göre değişir:

Farklı yazılımlar tarafından ele geçirilen URL

Arama sonuçlarını karşılaştırarak, Google'a yönlendirecek olan Holainput tarafından kilitlenen arama sayfasının nihai sonucu dışında, diğer arama sayfalarının arama sonuçlarının hxxps: //www.yahoo.com arama sonuçlarıyla tutarlı olduğunu ve Yahoo'nun arama sonuçlarının arka planda kullanıldığından şüphelenildiğini görebiliriz. Ancak Google veya Yahoo kullanıyor olmanıza bakılmaksızın, virüs sunucusu kullanıcının arama içeriğini kaydedebilir ve kullanıcının arama bilgilerinin gizliliği için bir tehdit oluşturabilir.

Tinder tarafından izlendikten sonra, tescil ettiren Bao Yu ve kayıtlı e-posta "baoyu430@gmail.com", yukarıda bahsedilen kötü amaçlı yazılımların çoğunun kayıt bilgilerinde göründü.

Qingye Technology Co., Ltd.'nin endüstriyel ve ticari bilgilerini araştırarak, Qingye Technology adlı beş şirket olduğunu ve bunlardan üçünün doğrudan virüsle ilişkili olduğunu, yani Qingye Technology (Beijing) Co., Ltd. (bundan sonra Pekin olarak anılacaktır) olduğunu gördük. Qing Ye), Qing Ye Technology (Shanghai) Co., Ltd. Beijing Qing Ye Rainforest Şubesi (bundan sonra Shanghai Qing Ye Beijing Şubesi olarak anılacaktır) ve Qing Ye Technology (Shanghai) Co., Ltd. (Shanghai Qing Ye).

Kurumsal bilgilerimizi taradıktan ve taradıktan sonra, şirketin virüsle ilgili operasyonel ilişkisini aşağıdaki şekilde gösterildiği gibi ön olarak sıraladık:

Şirketin tüm operasyonlarında, ilgili ana kişiler Ma Lin ve Bao Yu, Ma Lin ilgili şirketlerin ana yatırımcısı ve Bao Yu ana müdürdür.

Pekin Longinus Yatırım Merkezi'nin hissedar bilgilerinde, yalnızca Ma Lin ve Bao Yu, Qingye Technology (Shanghai) Co., Ltd.'yi nispeten kontrollü bir şekilde kontrol etmektedir. Şirketin ana işlevi, yabancı yatırım için sermaye yapmak ve kaynakları entegre etmektir.

Shanghai Qingye, esas olarak yurtiçi ve yurtdışında trafik kaçırma için tarayıcı eklentilerinin geliştirilmesinden ve ilgili web sitesi hizmetlerinin geliştirilmesinden sorumludur ve Beijing Qingye'yi yabancı yatırım yoluyla mutlak bir kontrol altında kontrol eder.Aynı zamanda, Shanghai Qingye Pekin Şubesi adında bir yan kuruluşa sahiptir. Şirketin mülkiyet hakları bilgilerinde, aşağıdaki şekilde gösterildiği gibi kötü amaçlı eklentiler yayan yazılımlar bulduk:

Ayrıca şirketin işe alım bilgilerini aşağıda gösterildiği gibi işe alım web sitesinde bulduk:

Beijing Qingye esas olarak yazılım ve oyun geliştirmeden sorumludur.Geliştirdiği yazılım, Deal WiFi, Soso Desktop ve FVP Imageviewer gibi trafiği kaçırmak için bir dağıtım taşıyıcısıdır. Şirketin mülkiyet hakları bilgilerinde, aşağıdaki şekilde gösterildiği gibi, hileli tanıtım içeren daha fazla yazılım bulduk:

Shanghai Qingye Beijing Şubesi, trafiğin ele geçirilmesine yönelik tarayıcı geliştirmeden sorumludur. Şirket tarafından açıklanan işe alım bilgileri aşağıdaki şekilde gösterilmiştir:

3. Ek

Örnek SHA1:

Not: Bu makale, Leifeng.com tarafından yetkilendirilen Tinder Güvenlik Laboratuvarı tarafından sunulmuştur.

"Küresel Fırtına" uzay kurtarma bilimkurgu dokusuyla dolu, Gerald Butler'ın sert adamı çekicilikle dolu

"The Legend of Zelda" oyun planlayıcısının yıllık 220.000 maaşı var, hangisi daha yüksek? Düşük?

Changya Ortaokulu öğrencileri "küçük patronlar" olur ve pek çok hayır kurumu topluluğa satılır

Doğumla ilgili bu drama, neden ağlayan ama çocuğu olmayan insanlara bakıyorsunuz?

Yasak Şehir'de ilk kez gece şovu için bilet bulmak zor. Yönetmeni dinle Shan Jixiang, popülerliğin arkasındaki sırrı açığa çıkar

Nisan ayında yeni düzenlemeler geliyor! Her biri önemlidir!

Xue Zhiqian polisi uyuşturucuyu test etti ve uyuşturucu kullanmadığını kendi kendine test etti, Huang Yiqing: Teşekkür ederim, gitmeyeceğini söylemiyorum

Bu yıl en dokunaklı Çin filmi nihayet çıktı

Çaylak SF anlaşmazlığı sona eriyor: veri iletimi tamamen geri yüklenecek; Waymo otonom kamyonların geliştirildiğini duyurdu | Lei Feng Morning Post

Zorlu 2019 İşyeri: İş başladığında ödeme yapın

Honor 10 Youth Edition Resmi Duyurusu: Zhu Zhengting tarafından onaylanan gradyan gövdesi ile 21 Kasım'da Pekin'de yayınlandı.

Yeniden yapılandırılabilir gömülü CNC sisteminin tasarımı ve doğrulanması