Language
banner
Nachrichtenzentrum
Hochwertige Zutaten, strenge Kontrolle.
Heim > Blog

Permhash – Keine Locken notwendig

Apr 20, 2024

Angreifer gehen zahlreiche Wege ein, um die Autorisierung für Aktionen auf Zielendpunkten zu erlangen: Rechteausweitung, DLL-Sideloading, Diebstahl von Anmeldeinformationen und mehr. Browsererweiterungen, Android-Pakete (APKs) und andere Berechtigungsdeklarationsdateien verfolgen einen anderen Ansatz – sie deklarieren die Berechtigungen, die sie benötigen, ob vertraulich oder nicht. Bei diesen Dateitypen handelt es sich um externe Codequellen, die mit unterschiedlichen Berechtigungsgraden ausgeführt werden dürfen. Da es sich bei diesen Dateien um einen einzigartigen Dateityp handelt, bei dem es sich nicht um eine standardmäßige ausführbare Datei handelt, mangelt es an einer automatisierten Analyse dieser Dateien. Sicherheitsforscher, Bedrohungsjäger und Cyberanalysten benötigen eine Methode zum Clustern, Suchen und Wechseln zwischen Browsererweiterungen, APKs und anderen Dateien, die eine Reihe von Berechtigungen auf wiederholbare und skalierbare Weise deklarieren.

Permhash ist ein erweiterbares Framework zum Hashen der deklarierten Berechtigungen für Chromium-basierte Browsererweiterungen und APKs, das Clustering, Hunting und Pivoting ermöglicht, ähnlich wie Import-Hashing und Rich-Header-Hashing.

Diese Forschung wird einen tiefen Einblick in Permhash beinhalten, seine Theorie zeigen und Erfolge und Mängel in der Praxis aufzeigen, während gleichzeitig sein Potenzial für einen breiten Einsatz in der gesamten Sicherheitsbranche aufgezeigt wird.

Eine CRX-Datei ist eine Sammlung von Dateien, die in einem einzigen Paket archiviert sind und als Erweiterung in Chromium-basierten Browsern verwendet werden können. Erweiterungen verbessern das Surferlebnis, indem sie dem Browser Features und Funktionen hinzufügen.

Erweiterungen verwenden eine Reihe von Berechtigungen, um zu klären, wie sie mit anderen Datenquellen arbeiten und mit ihnen interagieren können. Besonders bösartige Erweiterungen, deren Berechtigungen häufig über das erforderliche Maß hinausgehen, um zusätzliche Benutzerdaten zu sammeln. Eine Erweiterung erklärt ihre Absicht im Berechtigungsfeld der Manifestdatei. Für jede Erweiterung ist eine JSON-formatierte Datei mit dem Namen manifest.json erforderlich, die wichtige erweiterungsspezifische Informationen bereitstellt. Sehen Sie sich den Inhalt der Beispielmanifestdatei in Abbildung 1 an.

{

„manifest_version“: 3,

„name“: „Meine Nebenstelle“,

„Version“: „1.0.1“,

„default_locale“: „en“,

„description“: „Eine Klartextbeschreibung“,

"Berechtigungen": [

"Registerkarten",

„Lesezeichen“,

„unbegrenzter Speicherplatz“

]

}

Dieses Manifest gibt an, dass die damit verbundene Erweiterung die folgenden Berechtigungen benötigt: Tabs, Lesezeichen und unlimitedStorage. Jedes Berechtigungsschlüsselwort ist mit einer Browser-API verknüpft, die die Ausführung einer bestimmten Aktion oder die Erfassung von Daten ermöglicht.

Erlaubnis

Beschreibung

Registerkarten

Gewährt Zugriff auf privilegierte Felder der Tab-Objekte.

Lesezeichen

Gewährt Zugriff auf die chrome.bookmarks-API.

Unbegrenzter Speicherplatz

Bietet ein unbegrenztes Kontingent für die Speicherung clientseitiger Daten, z. B. Datenbanken und lokale Speicherdateien.

Wie in Abbildung 2 dargestellt, sind die Berechtigungen selbst im reinsten Sinne nicht bösartig, sondern ein Mittel, das böswillige Erweiterungen missbrauchen, um Zugriffsebenen zu erlangen.

APKs enthalten eine Reihe deklarierter Berechtigungen. Diese Berechtigungen sind in der Datei AndroidManifest.xml vorhanden. Jede funktionierende Android-App muss über eine Android-Manifestdatei im Stammverzeichnis der Projektquelle verfügen. Die Manifestdatei beschreibt wichtige Informationen über die App für die Android-Build-Tools, das Android-Betriebssystem und Google Play, einschließlich der Berechtigungen der App. Im Gegensatz zu Erweiterungsmanifestdateien liegen Android-Manifestdateien im AXML-Format vor, sind aber dennoch leicht identifizierbar. In Abbildung 3 finden Sie ein Beispiel für die Berechtigungen innerhalb eines APK.

Ähnlich wie bei allen Dateitypen mit deklarierten Berechtigungen geben die APK-Berechtigungen die Zugriffsebene an, die zum Funktionieren in der Android-Umgebung erforderlich ist.

Während diese Dateitypen möglicherweise nicht den speziellen Fokus erhalten, den ausführbare Dateien haben, hat Mandiant beobachtet, dass Angreifer bei ihren Cyberoperationen bösartige Erweiterungen und APKs verwenden.

Es wurde festgestellt, dass UNC3873 VIPERSOFT über Torrents geknackter Software verbreitet. Zumindest in einigen Fällen nutzte UNC3873 VIPERSOFT, um anschließend VENOMSOFT-Nutzlasten herunterzuladen. VENOMSOFT ist ein Kryptowährungs-Dataminer, der sich als Browser-Erweiterung tarnt.

Drei Malware-Familien, BRAINSTORM, BRAINFOG und BRAINLINK, wurden identifiziert, die die schädliche Erweiterung RILIDE installierten. RILIDE ist eine Chromium-basierte Erweiterung, die die von Opfern besuchten URLs überwacht, Screenshots ihrer Browser-Tab-Ansichten erstellt und Remote-Javascript in ausgewählte Websites einfügt. RILIDE zielt auf den Diebstahl von E-Mail- und Kryptowährungsdaten ab.

Sogar National State Actors wurden dabei beobachtet, wie sie bösartige Erweiterungen nutzten. Google TAG hat einen Bericht über die Bedrohungsgruppe ARCHIPELAGO (eine Untergruppe von APT43) veröffentlicht, die bösartige Chrome-Erweiterungen in Kombination mit Phishing und Malware verwendet. Die frühesten Versionen dieser Erweiterungen, die 2018 als STOLEN PENCIL gemeldet wurden, enthielten Funktionen zum Diebstahl von Benutzernamen, Passwörtern und Browser-Cookies. Sie wurden über Phishing-E-Mails mit einem Link zugestellt, der die Empfänger zu einem Lockdokument führte, das Benutzer dazu aufforderte, die bösartige Chrome-Erweiterung zu installieren.

Auch nationalstaatliche Akteure nutzen bösartige APKs. Ein Teil der APT42-Infrastruktur diente als Befehls- und Kontrollserver (C2) für mobile Android-Malware, die darauf ausgelegt war, Standorte zu verfolgen, die Kommunikation zu überwachen und allgemein die Aktivitäten von Personen zu überwachen, die für die iranische Regierung von Interesse sind, darunter Aktivisten und Dissidenten im Iran.

Diese Bedrohungen bestehen und werden bis zu einem gewissen Grad auch weiterhin bestehen, wenn Gegenmaßnahmen umgesetzt werden. Unabhängig vom Zustand der Bedrohung ist die Suche und Identifizierung dieser Malware-Cluster für die Verteidiger und Cybersicherheitsgemeinschaft von größter Bedeutung.

Die Hypothese hinter der Erforschung von Permhash ist folgende:

Durch die Berechnung eines Hashs einer verknüpften Zeichenfolge der Berechtigungen einer Erweiterung oder eines APK entsteht ein Datenpunkt, der zum Suchen, Clustern und Pivotieren zwischen ähnlichen Dateitypen verwendet werden kann.

Die Theorie zur Identifizierung eines Datensatzes zur Unterstützung des Clusterns von Dateien erfordert bestimmte Eigenschaften. Die Daten müssten extrahierbar, kontrastdefiniert, für die Funktionalität von Bedeutung sein und mit der Wiederverwendung von Code in Verbindung stehen.

Allerdings ist die Frage, warum ein Hash verwendet wird, eine wichtige Frage. Hashing ermöglicht es einem Benutzer, einen unhandlichen Datenpunkt in eine prägnante Zahl zu verdichten, die leicht durchsuchbar und schwenkbar ist. Einige Berechtigungssätze können unglaublich umfangreich sein und mehrere tausend Zeichen umfassen. Das Zusammenfassen dieser komplexen Zeichenfolge zu einem einzigen eindeutigen 64-Zeichen-Wert macht die Verarbeitung dieser Daten einfacher.

Um eine Berechtigungszeichenfolge zu erstellen, führt Mandiant die folgenden Aktionen aus:

„permissions“: [ { „usbDevices“: [ { „vendorId“: 123, „productId“: 456 } ] }]

Diese Permhash-Zeichenfolge würde wie folgt aussehen: „usbDevices.vendorId.123usbDevices.productId.456“.

Dieser Prozess ist sowohl für Erweiterungsberechtigungen als auch für APK-Berechtigungen standardisiert.

Im Rahmen dieser Recherche konnte Mandiant mit Genehmigung 11.575 Erweiterungsmanifestbeispiele sammeln. Um die Daten besser zu verstehen, wurde ein Frequenzstreudiagramm erstellt (Abbildung 5). Das Frequenzstreudiagramm sagt uns, wie oft ein bestimmter Permhash auftritt. In Abbildung 5 zeigt beispielsweise der Punkt oben links, dass es in unseren 11.575 Stichproben 1.280 Permhashes gibt, die eindeutig sind und nicht gemeinsam genutzt werden, während der Punkt unten rechts zeigt, dass es einen einzelnen Permhash gibt, der insgesamt 5.166 Mal gemeinsam genutzt wird unsere Proben. Diese Extreme verraten uns zwei interessante Hypothesen zu den Daten:

Beide Extreme sind für die Jagd und Forschung interessant, die kleineren Datengruppierungen bieten jedoch hervorragende Möglichkeiten für die Gruppierung und Suche verwandter Stichproben.

Bei der Durchführung dieser Untersuchung bestand das Ziel darin, die gleiche grafische Darstellung sowohl für Erweiterungsmanifeste als auch für APKs anzuzeigen. Dies würde diese Clustering- und Analysemethode weiter festigen. Um dieses Ziel zu erreichen, identifizierte Mandiant 13.372 APKs, die bei der Berechnung des Permhash und der Erstellung des zugehörigen Frequenzstreudiagramms verwendet werden sollten. APKs zeigten viele der gleichen Funktionen wie Erweiterungsmanifeste – und erreichten damit das Ziel.

Ähnlich wie bei Erweiterungsmanifesten gibt es bei APKs Extreme, bei denen ein Permhash einmal geteilt wird und der Permhash 2.625 Mal nur mit einem anderen Beispiel geteilt wird. Dies ist in Abbildung 6 zu sehen.

Auch wenn die Extreme einen Wert haben, werden die ersten Erfolge innerhalb der Kurve des Diagramms identifiziert. Die Arbeit in der Kurve des Diagramms ermöglicht es einem Forscher, mit einer Charge zusammengehöriger Proben zwischen 20 und 100 zu arbeiten, die sich einen Permhash teilen, statt mit Tausenden.

VENOMSOFT ist ein Kryptowährungs-Dataminer, der sich als Browser-Erweiterung tarnt. Die Erweiterung lädt abhängig von der besuchten Website schädliche JS-Dateien und leert die Kryptowährungs-Wallets der Opfer, indem sie API-Aufrufe im Zusammenhang mit Geldabhebungen und dem Austausch ihrer Wallets einbindet.

Mandiant hatte sechs einzigartige VENOMSOFT manifest.json-Dateien mit einem gemeinsamen Permhash von 9126f12ce5d0e610bb74da304b6bd0cd648428e59e74326fbd5affaa70d2257e. Beim Durchsuchen dieses Permhash innerhalb des Datensatzes wurden sieben Dateien gefunden, sechs davon waren die zuvor bekannten VENOMSOFT-Dateien und 6affa6fc3d3f0f5269737a560971f060 war zum Zeitpunkt des Schreibens unbekannt. Eine sorgfältige Analyse der Manifestdatei und ihrer Beziehungen zeigt, dass es sich bei der zugehörigen Erweiterung um ein zuvor nicht zugeordnetes VENOMSOFT-Beispiel handelt.

UNC3559 ist ein finanziell motivierter Bedrohungscluster, der den CHROMELOADER-Dropper seit mindestens Anfang 2022 verbreitet. CHROMELOADER ist ein Dropper, der anschließend eine bösartige Chrome-Erweiterung herunterlädt, die Werbung im Browser anzeigen und Browser-Suchdaten erfassen kann.

Bei der Durchsuchung von Manifestdateien im Zusammenhang mit bekannten Bedrohungsclustern identifizierte Mandiant 1ba7a6eff1e897e0f77f1d7b0dfd3ff7 und den zugehörigen Permhash d4d1b61f726a5b50365c8c18b2c5ac7ab34b3844e0d50112f386dfd875b6afac. Die Auswertung dieses Permhash innerhalb der gesammelten 11.575 Proben führte zur Identifizierung von sechs neuen, bisher nicht zugeordneten Proben. Eine weitere Analyse ergab dann mithilfe von CHROMELOADER einen Zusammenhang zwischen den neuen Dateien und UNC3559, was zu einer verbesserten Clusterbildung und einem besseren Verständnis des Bedrohungsakteurs führte.

CERBERUS ist ein Android-Trojaner mit einem breiten Spektrum an Funktionen, die typisch für Banking-Trojaner, RATs und Ransomware sind. Zu diesen Funktionen gehören unter anderem die Möglichkeit, Overlay-Angriffe durchzuführen, Tastenanschläge zu protokollieren, SMS-Nachrichten zu senden und zu lesen, Standorterfassung, Kontaktliste, Anrufweiterleitung, Benutzergeräte zu sperren, Anwendungen zu installieren/entfernen und aus der Ferne mit dem Betriebssystem und dem Dateisystem zu interagieren.

Mithilfe von Permhash zur Pivotierung der 13.372 gesammelten APK-Proben identifizierte Mandiant eine Gruppe von CERBERUS-Proben mit einem gemeinsamen Permhash. Es gab 12 Proben innerhalb dieses Clusters. Mandiant wusste, dass es sich bei 10 von diesen 12 um bestätigte CERBERUS-Proben handelte, die beiden übrigen Proben waren unbekannt. Weitere Analysen ergaben, dass es sich bei diesen beiden unbekannten Proben tatsächlich um CERBERUS handelte und eine der Proben eine zuvor nicht gemeldete C2-IP-Adresse enthielt. Dies zeigt den Vorteil der Möglichkeit, zwischen Stichproben in großen Datensätzen zu wechseln und neue Bedrohungsdaten zu identifizieren.

LEMONJUICE ist eine Android-Hintertür mit einem breiten Funktionsumfang, die die Fernsteuerung und den Zugriff auf ein kompromittiertes Gerät ermöglicht. Die Malware ist in der Lage, den Gerätestandort zu verfolgen, das Mikrofon aufzuzeichnen, Kontaktlisten abzurufen, auf Anruf-, SMS-, Zwischenablage- und Benachrichtigungsprotokolle zuzugreifen, installierte Anwendungen anzuzeigen, Dateien herunterzuladen und hochzuladen, den Verbindungsstatus anzuzeigen und zusätzliche Befehle vom C2-Server auszuführen.

Das Identifizieren bösartiger APKs und das Pivotieren des Permhashs zur Identifizierung verwandter Beispiele ist eine hervorragende Verwendung von Permhash. Bei der Durchsuchung der im Rahmen dieser Forschung gesammelten Proben identifizierte Mandiant 93 Proben mit einem gemeinsamen Permhash. Von den 93 Proben waren 91 bereits bekannte LEMONJUICE-Proben. Dies zeigt eine sehr hohe Bedrohungsdichte. Bei den anderen beiden Proben wurde dann bestätigt, dass es sich um neu identifiziertes LEMONJUICE handelte.

APT43 ist ein produktiver Cyber-Betreiber, der die Interessen des nordkoreanischen Regimes unterstützt und bei früheren Cyber-Operationen Erweiterungen genutzt hat.

Die Manifestdateien dieser Erweiterungen sind ein warnendes Beispiel. Viele der Manifestdetails zwischen den APT43-Beispielen überschneiden sich, einschließlich des Erweiterungsnamens, der Skriptnamen, der Beschreibung, der Entwicklungstools und des Symbols. Wenn sich jedoch die Version der Erweiterung ändert, ändern sich auch die Berechtigungen, wie in Abbildung 7 dargestellt.

Beispiel 1: „Berechtigungen“: [„Tabs“, „WebNavigation“, „Cookies“, „https://*/*“, „http://*/*“]

Beispiel 2: „Berechtigungen“: [„Tabs“, „WebNavigation“, „Cookies“, „https://*/*“, „http://*/*“]

Beispiel 3: „permissions“: [„tabs“, „webNavigation“, „webRequest“, „webRequestBlocking“, „https://*/*“]

Beispiel 4: „Berechtigungen“: [„tabs“, „webNavigation“, „webRequest“, „webRequestBlocking“, „cookies“, „https://*/*“, „http://*/*“]

Dies ist ein Beispiel dafür, dass sich die Anforderungen der Erweiterung im Laufe der Zeit ändern und daher den Permhash modifizieren. Dies ist ein erwartetes Verhalten, wenn man bedenkt, dass Permhash, wie im Abschnitt „Hypothese und Ausführung“ dargelegt, durch einen Gegner definiert ist.

In einem Versuch, den Einsatz von Permhash in der gesamten Sicherheitsbranche auszuweiten, hat Mandiant in Zusammenarbeit mit VirusTotal Permhash innerhalb der VirusTotal-Plattform verfügbar gemacht. Bei der Analyse eines CRX oder APK ist der Permhash-Wert in den Dateidetails sichtbar und zum Pivotieren verfügbar.

Darüber hinaus hat Mandiant eine Permhash-Python-Bibliothek veröffentlicht, ein Tool, mit dem der Permhash eines CRX, APK, CRX-Manifests oder APK-Manifests berechnet werden kann.

Die vier aufgeführten Erkennungen sollen dabei helfen, Dateien von Interesse bei der Berechnung von Permhash, CRX-Erweiterungen, Erweiterungsmanifesten, APKs und Android-Manifesten zu identifizieren.

Regel M_Hunting_Extension_Manifest_Permissions_1 {

Meta:

Autor = „Mandiant“

description = „Suche nach Erweiterungsmanifesten mit Berechtigungen.“

md5 = „b4a020208821c7e5bf99f8e3367897ba“

Saiten:

$a1 = /"manifest_version"\s*:\s*/ ascii

$a2 = /"name"\s*:\s*/ ascii

$a3 = /"version"\s*:\s*/ ascii

$anchor = /"permissions"\s*:\s*/ ascii

$s1 = /"author"\s*:\s*/ ascii

$s2 = /"automation"\s*:\s*/ ascii

$s3 = /"Hintergrund"\s*:\s*/ ascii

$s4 = /"chrome_settings_overrides"\s*:\s*/ ascii

$s5 = /"chrome_url_overrides"\s*:\s*/ ascii

$s6 = /"Befehle"\s*:\s*/ ascii

$s7 = /"content_scripts"\s*:\s*/ ascii

$s8 = /"content_security_policy"\s*:\s*/ ascii

$s9 = /"cross_origin_embedder_policy"\s*:\s*/ ascii

$s10 = /"cross_origin_opener_policy"\s*:\s*/ ascii

$s11 = /"declarative_net_request"\s*:\s*/ ascii

$s12 = /"devtools_page"\s*:\s*/ ascii

$s13 = /"event_rules"\s*:\s*/ ascii

$s14 = /"export"\s*:\s*/ ascii

$s15 = /"externally_connectable"\s*:\s*/ ascii

$s16 = /"file_browser_handlers"\s*:\s*/ ascii

$s17 = /"file_system_provider_capabilities"\s*:\s*/ ascii

$s18 = /"homepage_url"\s*:\s*/ ascii

$s19 = /"host_permissions"\s*:\s*/ ascii

$s20 = /"import"\s*:\s*/ ascii

$s21 = /"inkognito"\s*:\s*/ ascii

$s22 = /"input_components"\s*:\s*/ ascii

$s23 = /"key"\s*:\s*/ ascii

$s24 = /"minimum_chrome_version"\s*:\s*/ ascii

$s25 = /"oauth2"\s*:\s*/ ascii

$s26 = /"omnibox"\s*:\s*/ ascii

$s27 = /"optional_host_permissions"\s*:\s*/ ascii

$s28 = /"optional_permissions"\s*:\s*/ ascii

$s29 = /"options_page"\s*:\s*/ ascii

$s30 = /"options_ui"\s*:\s*/ ascii

$s32 = /"Anforderungen"\s*:\s*/ ascii

$s33 = /"sandbox"\s*:\s*/ ascii

$s34 = /"short_name"\s*:\s*/ ascii

$s35 = /"storage"\s*:\s*/ ascii

$s36 = /"tts_engine"\s*:\s*/ ascii

$s37 = /"update_url"\s*:\s*/ ascii

$s38 = /"Versionsname"\s*:\s*/ ascii

$s39 = /"web_accessible_resources"\s*:\s*/ ascii

$s40 = /"action"\s*:\s*"/ ascii

$s41 = /"default_locale"\s*:\s*"/ ascii

$s42 = /"description"\s*:\s*"/ ascii

$s43 = /"icons"\s*:\s*"/ ascii

Zustand:

Dateigröße < 10 KB und $anchor und (alle von ($a*)) und (1 von ($s*))

}

Regel M_Hunting_BrowserExtension_CRX_1

{

Meta:

Autor = „Mandiant“

description = „Suche nach CRX-Erweiterungsdateien.“

md5 = „b07c560ac6ef98dd1d9fbce144bc62f6“

Saiten:

$a = „manifest.json“ ASCII

$crx = {43 72 32 34}

$pk = {50 4B 03 04}

Zustand:

($crx bei 0) und $a und (#pk >1) und

(für jedes i in (1..#pk) : ($a at @pk[i]+30))

}

Regel M_Hunting_ArchiveEngine_APK_1

{

Meta:

Autor = „Mandiant“

description = „Auf der Suche nach verdächtigen APK-Dateien“

md5 = "a04c2c3388da643ef67504ef8c6907fb"

Saiten:

$f1 = {41 6e 64 72 6f 69 64 4d 61 6e 69 66 65 73 74 2e 78 6d 6c 50 4b}

$f2 = {63 6c 61 73 73 65 73 2e 64 65 78 50 4b}

$type = {50 4b}

Zustand:

$typ bei 0 und alle

}

Regel M_Hunting_ArchiveEngine_APK_Manifest_1

{

Meta:

Autor = „Mandiant“

description = „Suche nach verdächtigen APK-Manifestdateien.“

md5 = „32f1ff7244ff5041f0db8613b97e24c4“

Saiten:

$type = {03 00 08 00}

$s1 = „manifestieren“ ASCII-Vollwort

$f1 = „Aktivität“ ASCII-Vollwort

$f2 = „service“ ASCII-Vollwort

$f3 = „Empfänger“ ASCII-Vollwort

$f4 = „Provider“ ASCII-Vollwort

Zustand:

$type bei 0 und $s1 und (2 von ($f*))

}

Diese Untersuchung hat mehrere Malware-Familien berührt, die im Android- und CRX-Bereich existieren (LEMONJUICE, CERBERUS, CHROMELOADER und VENOMSOFT). Es ist wichtig zu betonen, dass sich Mandiant und andere Sicherheitsteams bei Google der Aufgabe verschrieben haben, komplexe Bedrohungen zu verstehen und ihnen entgegenzuwirken. Wir nutzen unsere Forschung, um sicherzustellen, dass die Produkte von Google und unsere Nutzer sicher sind. Für Personen, die einem hohen Risiko dieser Aktivität und anderer schwerwiegender Bedrohungen ausgesetzt sind, stellt Google erweiterte Sicherheitsressourcen bereit, darunter Enhanced Safe Browsing und das Advanced Protection Program. Wenn diese Tools in Kombination mit dem Sicherheitscheck von Google verwendet werden, bieten sie den schnellsten und stärksten Schutz vor ernsthaften Bedrohungen.

Forscher, Analysten und Bedrohungsjäger benötigen alle Vorteile, wenn sie Zusammenhänge zwischen großen Datensätzen identifizieren wollen. Während sich die in diesem Beitrag dokumentierte Forschung speziell auf Chromium-basierte Erweiterungen und APKs bezieht, ist die Theorie von Permhash erweiterbar und auf alle Dateitypen anwendbar, die ihre Berechtigungen deklarieren, was das Potenzial für Auswirkungen erhöht. Die Verwendung von Permhash kann, wie in dieser Forschung gezeigt, genutzt werden, um bisher unbekannte verwandte Proben durch Pivotierung und Clustering zu beleuchten.

Diese Forschung wäre ohne die Unterstützung von Connor McLaughlin, Nick Simonian, Matthew Dunwoody, Anders Vejlby, Paco López, Todd Plantenga, Daniel Garcia, Emiliano Martinez, Francisco Santos, Aseel Kayal und unzähligen anderen nicht möglich gewesen.

Link zum RSS-Feed

Bestimmen Sie die Wirksamkeit Ihrer Cyber-Abwehr

Von ESG validiert

Nehmen Sie an der Beurteilung teil

Mandiant-Experten beantworten gerne Ihre Fragen.

ErlaubnisBeschreibungExtrahierbarGegner definiertSinnvoll für die FunktionalitätCode-Wiederverwendungskennung
Previers
Zurück zur Liste
Nächste