Massive AdGholas Malvertising Kampagnen Verwendung Steganographie und Datei-Whitelisting zu verbergen in der Schusslinie

Share with your network!

Übersicht

Proofpoint Forscher haben entdeckt und analysiert eine massive Malvertising Netzwerk in Betrieb seit 2015. Geführt von einer Bedrohung Schauspieler, die wir als AdGholas bezeichnet und in weniger als 1 Million Kunden Maschinen pro Tag ziehen. Dieser Vorgang Malvertising infiziert Tausende von Opfern täglich über eine ausgeklügelte Kombination von Techniken, einschließlich ausgefeilte Filter- und Steganographie, wie von anderen Forschern an Trend Micro analysiert. AdGholas scheint, zwar Betrieb im Zuge der Aktion durch die Werbung für Netzbetreiber nach Benachrichtigung durch Proofpoint aufgehört haben zeigen das Ausmaß und die Komplexität dieses Vorgangs die Weiterentwicklung und die Wirksamkeit der Malvertising.

Die Entdeckung

Im Oktober 2015, gab es zwei dokumentierten Malvertising Gruppen mit der gleichen Art von JavaScript Code-Filterung: GooNky [1] [2] [3] [4] und VirtualDonna [5] [6] [7] [8]. Etwa zu dieser Zeit erkannt wir eine dritte, etwas andere Gruppe. In diesem neuen Fall unterschieden sich die Muster und der gesamte Datenverkehr im klaren war.


Abbildung 1: Eine AdGholas Malvertising Kampagne ab Oktober 2015 (Klick Bild in voller Größe zu sehen)

Wenn wir die Infektionskette durch automatisierte Surfen erfasst wiedergegeben, bemerkten wir, dass die Umleitung auf Übertragung eines Cookies ("Utml") beruhte. Erhalt der Cookie war bedingt durch unterschiedliche Spracheinstellungen, Zeitzone und Browser-Konfiguration (insbesondere das Fehlen eine Pragma-Cache-Header in der Regel gesendet wird, wenn Internet Explorer einen Proxy verwendet wird).

Es war auch interessant, dass die Domäne verwendet wird ein Hotel ("Merovinjo") in Paris vorgestellt, und es dauerte mehrere Minuten Untersuchung zu überprüfen, ob die Website gefälscht war und einen Klon einer realen, legitimen Website. Wir beschlossen, diese Gruppe als AdGholas [9] zu verweisen.

AdGholas nutzten einige zuvor entdeckten MimeType-Prüfungen [1], die ".py" sichergestellt." Saz"".pcap"".chls"Dateien wurden nicht mit Software und die".divx"".mkv"verbunden,".m4p",".skype",".flac",".psd"und".torrent"verbunden waren.

Entwicklung

Der folgende Monat, im November 2015 wir erkannt AdGholas wieder mit zwei anderen Domänen (EG-Zentrum und Mamaniaca), aber wir waren nicht in der Lage, die Umleitung auslösen.


Abbildung 2: AdGholas "EcCentre" Kampagne 2015-11-05


Abbildung 3: AdGholas "Mamaniaca" Kampagne 2015-11-24

Erhalten Sie einen besseren Überblick darüber, was geschehen war, bauten wir eine dedizierte VM (mit benutzerdefinierte Zeitzone, Sprache und Software) um die ersten Prüfungen in einer überwachten Umgebung durchlaufen. Mit diesen Redirectoren bemerkten wir, dass je nach diesem UTML Cookie Sie zwei verschiedene JavaScript und Banner gesendet werden würde.


Abbildung 4: AdGholas "EcCentre"-Kampagne, eine "saubere" versus "injiziert" Pass (Klick Bild in voller Größe zu sehen) zu vergleichen

Im Gegensatz zu gab es in diesem Fall in der Merovinjo beispielsweise keine offensichtliche Code mit Iframe-Umleitung.

Nach den ersten Prüfungen

Zu diesem Zeitpunkt wir konnten die ersten Kontrollen durchlaufen und beobachtet, dass wenn Sie einen Ziel-Kandidaten waren, das saubere JavaScript mit einigen bösartigen Code gesalzen war und das Banner anders war. Wir hatten schon vermutet, dass hier eine Art von Steganographie verwendet wurde.

Die zweite Stufe der Kontrollen enthalten weit mehr Überprüfungen als wir gewohnt waren, zu sehen in dieser Art von Malvertising Kette (Klicken Sie um die vollständige Liste zu sehen), darunter einige sehr spezielle Software wie GeoEdge, Geosurf, AdClarity Symbolleiste und scheinbar einige Whitelisting von Nvidia oder ATI-Treiber. Noch erstaunlicher ist, schien es auch, dass OEMInfo/OEMLogo Dateien auch Whitelist waren. Diese werden wahrscheinlich nur Marken [OEM] Computern und daher wahrscheinlich verbunden mit "durchschnittliche Nutzer" entnehmen).


Abbildung 5: Oemlogo.bmp und Oemlogo.info Whitelisting lassen "Branding" Zielcomputer.

Nach Anpassung unserer VM waren wir in der Lage, die volle Infektionskette, einschließlich Nutzlasten.


Abbildung 6: Anpassung unserer VM die zweite Schicht der Kontrollen durchlaufen.

Im Laufe dieser Analyse teilten wir unsere Ergebnisse mit Trend Micro, Forscher, die die Technik hinter der Steganographie ausgearbeitet.


Abbildung 7: Volle Kette Schritt für Schritt (Klick Bild in voller Größe zu sehen)

Begraben in der ersten wurde JS (Nr. 2 in Abb. 7) dieser Teil des Codes:


Abbildung 8: JavaScript-Code (Klick Bild in voller Größe zu sehen)

Dieser Code verwendet die Leinwand JavaScript API, ein Feature von HTML5, PNG (Nr. 3 in Abb. 7) lesen und Extrahieren von einem anderen JS (C) und einige Daten (D) (Abb. 9).


Abbildung 9: Extrahierten JavaScript (Klick Bild in voller Größe zu sehen)

In diesem spezifischen Durchgang der extrahierten JS (C) führt die MIME-Typ-Prüfung aber dient auch zum Entschlüsseln der Daten (D) mit einem Schlüssel gespeichert im ersten Teil eines Xhr-Sid-Header (Nr. In Abb. 7) später gesendet.

Diese Daten entschlüsseln, zeigt den Iframe mit der URL-Shortener. In diesem wird Kette die Umleitung-Tag im zweiten Teil des Headers Xhr-Sid (Abb. 7 B) gespeichert:

Dies wird gefolgt von XMLDOm Prüfungen:


Abbildung 11: XMLDOm Kontrollen (Klick Bild in voller Größe zu sehen)


Abbildung 12: Überprüft die Anwesenheit einer bestimmten Software. Diese Kontrollen zeigen die Raffinesse und die Erfahrung dieser Gruppe.

Und einige der Dateien in der Whitelist, die wir früher dynamisch gesichtet:


Abbildung 13: Whitelist-Datei überprüft

Unsere Analyse mit den Kollegen von Trend Micro ergab, dass AdGholas Kampagnen nicht alle Arbeit die gleiche Weise, aber alle den gleichen mehrschichtige Filterung und Verschleierung haben. Beispielsweise wird die Umleitung-Tag in mehrfacher Hinsicht gesendet. Wir sahen die Xhr-Sid zu einem Beitrag zu GIF als Response-Header gesendet, aber es verbirgt sich manchmal am Ende ein "AddStats"-Hash in der ersten Landung (Abb. 14):


Abbildung 14: Eine andere AdGholas Kette senden URL Shortener im ersten Aufruf (mit UTML Cookie) (click Image to voller Größe zu sehen)

Und manchmal am Ende der Bild-URI-Parameter:


Abbildung 15: AdGholas "Cleanerzoomer"-Kampagne, TinyURL Tag geschickt versteckt in URI - 2016-07-15 (Klick Bild in voller Größe zu sehen)

Die Kombination von Intel, die wir gesammelt mit Telemetrie-Daten von Trend Micro, konnten wir eine sehr klare Vorstellung von der Größenordnung dieser Kampagnen zu erhalten.


Abbildung 16: AdGholas, das große Bild (Klick Bild in voller Größe Diagramm anzeigen) beachten Sie: die Infrastruktur in diesem Diagramm gezeigt wäre relevant, um die Operationen sowie andere hochrangige Akteure wie GooNky oder VirtualDonna beschreiben.

AdGholas verstummte für zwei Wochen nach dem Verschwinden der Angler [10], zurück (mit der gleichen Domänen) Ende Juni mit Neutrino.

AdGholas erhielten hochwertigen Traffic, höchstwahrscheinlich vorgefiltert auf User-Agent und das Land von mehr als zwanzig verschiedene AdAgency / AdExchange-Plattformen. Der Verkehr wurde aus einer Vielzahl von hohem Rang Referers gewonnen. (Klicken Sie, um die vollständige Liste zu sehen) 

Diese Netzwerke und Referer 1 Million Hits fuhr jeden Tag, und davon sind 10-20 % auf das Exploit-Kit (IP und Cookie scheinen für eine Woche auf der schwarzen Liste) umgeleitet. Nach unserer Einschätzung AdGholas ist in dieser Konfiguration seit Sommer 2015 gelaufen, und deutet darauf hin, dass sie im Betrieb mit anderen Techniken so früh wie 2013 gewesen sein.

Bevor AdGholas Vorgang angehalten, erlebten wir Geo-Schwerpunkt banking Trojaner Fallenlassen auf den infizierten Computern auf erfolgreiche Infektion. Beispielsweise fiel Gozi ISFB in Kanada, Terdot.A (aka DELoader) [11] in Australien, Godzilla geladen Terdot.A in Großbritannien und Gootkit fiel in Spanien. Anscheinend gibt es vier verschiedene Neutrino-Threads, wie Neutrino eine interne TDS nicht darunter ist, während Blackhole, Angler und Atomwaffen waren.

Aktuelle Beobachtungen deuten darauf hin, dass AdGholas oder enger Vertriebspartner begonnen haben könnte die Reverseproxys dienen die beteiligten Instanz des Exploit-Kit Ende April in Betrieb. Diese waren die einzige Instanzen mit "gezippte" Angler EK Verkehr, und in letzter Zeit ihren Neutrino-Verkehr war Gzipped sowie.

Abschluss

Die AdGholas Bedrohung Schauspieler beschäftigt eine komplexe und leistungsfähige Kombination von Techniken, die ihnen zu mehr als einem Jahr unentdeckt für bedienen ermöglicht.

  • Massiv: The AdGholas Netzwerk zog Verkehr von 1 Million hochwertige Client-Zugriffe pro Tag.
  • Schleichende Innovation: diese Kampagne stellt der erste dokumentierte Einsatz von Steganographie in einer Malware-Kampagne vorbeifahren und Angriffen beschäftigt "Information Disclosure" Fehler wahrgenommen, um risikoarme um unter dem Radar der Hersteller und Forscher bleiben werden.
  • Ausgefeilte Filterung: AdGholas "smart", mehrstufigen Filtertechniken, genauer gesagt Ziel Client-Systeme, einschließlich der Vermeidung von nicht-OEM und Nvidia/ATI-passive Systeme beschäftigt.
  • Überzeugend: Umgeleitete Seiten vermeiden Verdacht und Wirksamkeit verbessern, indem eng imitiert das Aussehen der legitimen Website erwartet durch die Werbeagenturen.

Obwohl den letzten Änderungen in der Exploit-Kit-Landschaft eine Kontraktion in der Malware-Szene vorbeifahren vermuten lassen, zeigt das Beispiel der AdGholas wäre es ein Irrtum anzunehmen, dass diese Bedrohung rückläufig ist. Stattdessen zeigt AdGholas, dass Malvertising Kampagnen weiterhin entwickeln und verabschieden immer raffiniertere Techniken, mit die sie heimlich und selbst angesichts der neuesten defensive wirksam bleiben können.

Bestätigungen

Wir möchten unseren Kollegen Brooks Li und Joseph C Chen von Trend Micro für ihre Hilfe in dieser Studie, speziell für ihre Analyse der Steganographie danken.

Wir möchten auch alle Kontakte in der Werbebranche (direkt beteiligt oder nicht) zu danken, die waren schnell reagieren bei Bekanntwerden und halfen uns auf diese bösartige Aktivitäten handeln. Es scheint, dass ihr Handeln war stark genug, um alle AdGholas-Kampagnen ab dem Morgen des 20. Juli 2016 ausgesetzt haben.

Referenzen

  1. https://www.Proofpoint.com/US/Threat-Insight/Post/the-Shadow-knows
  2. http://Blog.trendmicro.com/TrendLabs-Security-Intelligence/Lets-Encrypt-now-being-abused-by-malvertisers/
  3. https://Blog.Malwarebytes.org/Malvertising-2/2016/03/a-look-into-Malvertising-Attacks-Targeting-the-UK/
  4. https://www.Proofpoint.com/US/Threat-Insight/Post/cryptxxx2-Ransomware-Authors-Strike-Back-against-Free-Decryption-Tool
  5. http://Malware.dontneedcoffee.com/2015/09/Shifu-Great-Britain.HTML
  6. http://Blog.trendmicro.com/TrendLabs-Security-Intelligence/3000-High-Profile-Japanese-Sites-Hit-by-massive-Malvertising-Campaign/
  7. http://Malware.dontneedcoffee.com/2015/10/a-DoubleClick-https-Open-Redirect-used.HTML
  8. https://Blog.Malwarebytes.org/Malvertising-2/2015/12/Malvertising-Hits-Dailymotion-serves-up-Angler-EK/
  9. https://en.Wikipedia.org/wiki/Technology_of_the_Dune_universe#Ghola
  10. https://www.Proofpoint.com/US/Threat-Insight/Post/Neutrino-Exploit-Kit-Distributing-most-CryptXXX
  11. Https://www.Microsoft.com/Security/Portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader:Win32/Terdot.A&ThreatID=-2147255721

Indikatoren des Kompromisses

Beteiligten Malvertising Domains

Domäne

IP-Adresse

Legitime Website geklont

[brainram.net]

[95.154.199.79]

 

[EG-centre.com]

[50.7.124.215]

[www.ipglobal-ltd.com]

[moyeuvelo.com]

[179.43.147.195]

[www.muvenum.com]

[ponteblue.com]

[50.7.143.70]

 

[cruzame.com]

[95.154.199.67]

[icecreamapps.com]

[mamaniaca.com]

[95.154.199.182]

[www.macroplant.com]

[cleanerzoomer.com]

[95.154.199.135]

[www.wisecleaner.com]

[merovinjo.com]

[50.7.143.14]

[Hotel-International-Paris.de]

[xuwakix.com]

[50.7.124.160]

[www.xmarks.com]

[iipus.com]

[50.7.124.184]

 

[tjprofile.net]

[192.240.97.164]

[www.speedbit.com]

[sensecreator.com]

[95.154.199.181]

 

[emaxing.com]

[179.43.147.242]

 

[a.stylefinishdesign.com.au]

[193.109.69.212]

Domäne zu beschatten

ADS.avodirect.ca

[162.247.14.213]

Domäne zu beschatten

ADS.boxerbuilding.com

[5.187.5.206]

Domäne zu beschatten

 

Eine Auswahl von Domains / IP-Adressen auf ihren Proxy für "gezippte" EK gebunden:

Domäne

IP

Datum

Kommentar

[negat.nationcommerce.com]

[46.183.220.156]

2016-04-21

Angler

[ddre.newbeautywellness.com]

[191.101.251.1]

2016-04-26

Angler

[ogyh.h2omasters.biz]

[191.101.251.12]

29 / 04 / 2016

Angler

[tort.designedbyprivatejettours.co.uk]

[191.101.250.49]

2016-05-10

Angler

[budg.yaskawadrivesystems.com]

[91.219.239.113]

2016-05-17

Angler

[rise.respecttheillusion.com]

[192.169.7.226]

2016-05-19

Angler

[half.goodlandbeer.com]

[185.29.11.167]

2016-05-31

Angler

[moodnails.top]

[46.183.221.146]

2016-07-07

Neutrino

[adminierstration.top]

[184.171.243.63]

2016-07-15

Neutrino

[institutionalization.top]

[46.183.219.105]

2016-07-15

Neutrino

[restrictivederegulate.top]

[184.171.243.62]

2016-07-15

Neutrino

 

Wählen Sie abgelegte Samples

SHA256

Datum

Kommentar

Domänen

IP-Adresse

d2d8de76afcf1fec3b8a41b1fc41405051c352b38b215666197d7045a79b99a9

2016-04-01

Tinba "jdhe7301he73yhd7i"

[enwhhdvfolsn.click] [fqelkidudcwb.eu] j73gdy64reff625r.cc

 

0ca994d7e06405793f8fc9b9ced5364bd0dd46119031b8b0d09f03e8bbffb85e

2016-04-21

Smokebot

[allerapo.eu] [oghtjpo.eu] [othrebso.com] otherapo.click iehefucu.bid

[91.233.116.174]

676ea2b87029e18edf3a1b221e5173cbc7a5dc73da9e48b09644eac65ab544f0

29 / 04 / 2016

Smokebot

allerager.Click

[46.45.169.182]

e7febe0cdfa798c3bb78e5ca8fd143b4721b04ff4d81cfea2b4c7b9da039fa19

2016-04-30

Tinba "jdhe7301he73yhd7i"

 

 

b46408cefa56cd09faa2d994271f03fcae9aa27dee279ea2eb71e163a15c3d44

2016-05-03

Terdot.A

[obesca.com]

[45.32.245.19]

af4ad3afa72ac39650f508a5f301c6e37b2b5f296563e43cd29eff49b8f25c7c

2016-05-05

Terdot.A

[stream.gizdosales.com]

[45.32.154.141]

e06b753aa98e1b8fdc7c8ee1cbd07f5d46b2bbf88ebc8d450c8f24c6e79520a4

2016-05-10

Gozi ISFB (Dreambot)

cmedia.Cloud

[94.242.254.51]

5962b458a0d3852a6974836951dc072593ecd4407b58dccad4a38eccc39dc54c

2016-05-17

Godzilla (Download einer Zbot)

amyrwsmur.Click

[46.45.169.120]

588fe945aeba2099e0f1743f046ee82cb7b92737fbae8673faeba50faebba847

2016-07-15

Gozi ISFB (Dreambot)

[Andnetscapeadefective.ru] [Allkindsublidamages.ru] [genetyoucircuminformed.xyz]

[87.98.254.64] [176.31.62.78] [93.190.177.179] [198.105.244.11]

09ba8463a09bbb430987ac1cbcbb7004c3be6b9bcf72b2db2333e599cc4203eb

2016-07-15

Terdot.A

[blastercast.com] [allenia.com] [987034569274692894.com]

[108.61.103.205] [45.32.157.168] [108.61.103.205]

7ea69328bc3dbaa53db243c3b789f719bb14283c32168f1bc8ea947fedf968f8

2016-07-15

Godzilla

biicqwfvqiec.Click

[212.92.127.39]

a5881a71d46346224e3d23d49a0577ea898fab3ea619d0e1acc77c982787fca0

2016-07-15

Terdot.A (2. Etappe von Godzilla)

[gegbghtyg.eu]

[192.42.116.41]

df4e4991693fa7b433114359eb048b1a

2016-07-15

Godzilla

[heleryjoortusd.com] [ionbudeerttsq.net]

[112.20.178.110]

 

Wählen Sie ET Signaturen

2821309 ETPRO böse Umleitung führt zu EK (AdGholas Tätigkeit)
2821310 ETPRO böse leiten führende auf EK (AdGholas senden Link im Header)
2020418 ET TROJAN Tinba Check-2
2022124 ET TROJAN Win32.Sharik Microsoft Konnektivität überprüfen
2018677 ET TROJAN Win32.Sharik Microsoft Konnektivität überprüfen
2809825 ETPRO TROJAN Win32.Sharik SourceForge Konnektivität überprüfen

Yara-Regeln

Artikel AdGholas_mem
{
 Meta:
     Malfamily = "AdGholas"

 Saiten:
      $a1 = "(3e8)! =" Ascii breit
      $a2 = /href=\x22\.\x22\+[a-z]+\,mimeType\}/ Ascii breit
      $a3 = / \ + [a-Z] + \ (Divx [\x22\x27] [^ \x22\x27] + Torrent [^ \x22\x27] * [\x22\x27] \.split/ Ascii breit
      $a4 = "Chls" Nocase Ascii breit
      $a5 = "Saz" Nocase Ascii breit
      $a6 = "Flac" Nocase Ascii breit
      $a7 = "Pcap" Nocase Ascii breit

 Zustand:
      alle ($a *)
}

Artikel AdGholas_mem_MIME
{
 Meta:
     Malfamily = "AdGholas"

 Saiten:
      $b1 = ".300000000" Ascii Nocase breite Fullword
      $b2 = ".saz" Ascii Nocase breite Fullword
      $b3 = ".py" Ascii Nocase breite Fullword
      b4 $= ".pcap" Ascii Nocase breite Fullword
      $b5 = ".chls" Ascii Nocase breite Fullword

 Zustand:
      alle ($b *)
}

teure
Artikel AdGholas_mem_antisec
{
 Meta:
     Malfamily = "AdGholas"

 Saiten:
     $vid1 = "res://c:\\windows\\system32\\atibtmon.exe" Nocase Ascii breit
     $vid2 = "res://c:\\windows\\system32\\aticfx32.dll" Nocase Ascii breit
     $vid3 = "res://c:\\windows\\system32\\drivers\\ati2mtag.sys" Nocase Ascii breit
     $vid4 = "res://c:\\windows\\system32\\drivers\\atihdmi.sys" Nocase Ascii breit
     $vid5 = "res://c:\\windows\\system32\\drivers\\atikmdag.sys" Nocase Ascii breit
     $vid6 = "res://c:\\windows\\system32\\drivers\\igdkmd32.sys" Nocase Ascii breit
     $vid7 = "res://c:\\windows\\system32\\drivers\\igdkmd64.sys" Nocase Ascii breit
     $vid8 = "res://c:\\windows\\system32\\drivers\\igdpmd32.sys" Nocase Ascii breit
     $vid9 = "res://c:\\windows\\system32\\drivers\\igdpmd64.sys" Nocase Ascii breit
     $vid10 = "res://c:\\windows\\system32\\drivers\\mfeavfk.sys" Nocase Ascii breit
     $vid11 = "res://c:\\windows\\system32\\drivers\\mfehidk.sys" Nocase Ascii breit
     $vid12 = "res://c:\\windows\\system32\\drivers\\mfenlfk.sys" Nocase Ascii breit
     $vid13 = "res://c:\\windows\\system32\\drivers\\nvhda32v.sys" Nocase Ascii breit
     $vid14 = "res://c:\\windows\\system32\\drivers\\nvhda64v.sys" Nocase Ascii breit
     $vid15 = "res://c:\\windows\\system32\\drivers\\nvlddmkm.sys" Nocase Ascii breit
     $vid16 = "res://c:\\windows\\system32\\drivers\\pci.sys" Nocase Ascii breit
     $vid17 = "res://c:\\windows\\system32\\igd10umd32.dll" Nocase Ascii breit
     $vid18 = "res://c:\\windows\\system32\\igd10umd64.dll" Nocase Ascii breit
     $vid19 = "res://c:\\windows\\system32\\igdumd32.dll" Nocase Ascii breit
     $vid20 = "res://c:\\windows\\system32\\igdumd64.dll" Nocase Ascii breit
     $vid21 = "res://c:\\windows\\system32\\igdumdim32.dll" Nocase Ascii breit
     $vid22 = "res://c:\\windows\\system32\\igdumdim64.dll" Nocase Ascii breit
     $vid23 = "res://c:\\windows\\system32\\igdusc32.dll" Nocase Ascii breit
     $vid24 = "res://c:\\windows\\system32\\igdusc64.dll" Nocase Ascii breit
     $vid25 = "res://c:\\windows\\system32\\nvcpl.dll" Nocase Ascii breit
     $vid26 = "res://c:\\windows\\system32\\opencl.dll" Nocase Ascii breit
     $antisec = /res: \ / \ / (c:\\ ((Programmdateien | Programm | Archivos de programa | Programme | Programmi | Arquivos de Programas | Programm | Programmierer | Programfiler | Programas | Fisiere Programm) ((x86) \\ ((p (Rox (y Labs\\proxycap\\pcapui | Ifier\\proxifier) | Arallels\\parallels Tools\\prl_cc) | e (traf (5. [ 012] | 4. [01]) \\emet_gui|ffetech http-Sniffer\\ehsniffer) | Malwarebytes anti--(exploit\\mbae|malware\\mbam) | Oracle\\virtualbox Gast Additions\\vboxtray | Debugtools für Windows (x86) \\windbg| (Wireshark\\wiresha | York\\yo) Rk | Ufasoft\\sockschain\\sockschain | Vmware\\vmware tools\\vmtoolsd|nirsoft\\smartsniff\\smsniff|charles\\charles).exe|i (n (Vincea\\ ((Browser protection\\invbrowser|enterprise\\invprotect).exe|threat analyzer\\fips\\nss\\lib\\ssl3.dll)|ternet explorer\\iexplore.exe)|einspector\\ (httpanalyzerfullv(6\\hookwinsockv6|7\\hookwinsockv7) | iewebdeveloperv2\\iewebdeveloperv2) .dll) | Geo (Edge\\geo(vpn\\bin\\geovpn|proxy\\geoproxy).exe | Surf durch Biscience toolbar\\tbhelper.dll)|s (Oftperfect Netzwerk Protokoll analyzer\\snpa.exe|andboxie\\sbiedll.dll)| (Adclarity toolbar\\tbhelper|httpwatch\\httpwatch).dll|fiddler(coreapi\\fiddlercore.dll|2?\\fiddler.exe)) | \\ ((p (Rox (y Labs\\proxycap\\pcapui | Ifier\\proxifier) | Arallels\\parallels Tools\\prl_cc) | e (traf (5. [ 012] | 4. [01]) \\emet_gui|ffetech http-Sniffer\\ehsniffer) | Malwarebytes anti--(exploit\\mbae|malware\\mbam) | Oracle\\virtualbox Gast Additions\\vboxtray | Debugtools für Windows (x86) \\windbg| (Wireshark\\wiresha | York\\yo) Rk | Ufasoft\\sockschain\\sockschain | Vmware\\vmware tools\\vmtoolsd|nirsoft\\smartsniff\\smsniff|charles\\charles).exe|i (Nvincea\\ ((Browser protection\\invbrowser|enterprise\\invprotect).exe|threat analyzer\\fips\\nss\\lib\\ssl3.dll)|einspector\\ (httpanalyzerfullv(6\\hookwinsockv6|7\\hookwinsockv7) | iewebdeveloperv2\\iewebdeveloperv2) .dll) | Geo (Edge\\geo(vpn\\bin\\geovpn|proxy\\geoproxy).exe | Surf durch Biscience toolbar\\tbhelper.dll)|s (Oftperfect Netzwerk Protokoll analyzer\\snpa.exe|andboxie\\sbiedll.dll)| (adclarity toolbar\\tbhelper|httpwatch\\httpwatch).dll|fiddler(coreapi\\fiddlercore.dll|2?\\fiddler.exe)))|windows\\system32\\(drivers\\(tm(actmon|evtmgr|comm|tdi)|nv(had(32|64)v|lddmkm)|bd(sandbox|fsfltr)|p(ssdklbf|rl_fs)|e(amonm?| Hdrv) | V(boxdrv|mci) | Hmpalert) .sys | (p(rxerdrv|capwsp)|socketspy).dll|v(boxservice|mu?srvc).exe)|python(3[45]|27)\\python.exe) | (h(ookwinsockv[67]|ttpwatch)|s(b(ie|ox)dll|ocketspy)|p(rxerdrv|capwsp)|xproxyplugin|mbae).dll|inv(guestie.dll(\/icon.png)? | redirhostie.dll)|w\/Icon.png)/ Nocase Ascii breit

 Zustand:
      eines ($vid *) und #antisec > 20
}

Artikel AdGholas_mem_antisec_M2
{
 Meta:
     Malfamily = "AdGholas"

 Saiten:
     $s1 = "ActiveXObject(\"Microsoft.XMLDOM\")" Nocase Ascii breit
     $s2 = "LoadXML" Nocase ASCII-breite Fullword
     $s3 = "parseError.errorCode" Nocase Ascii breit
     $s4 = /res\x3a\x2f\x2f [\x27\x22] \x2b/ Nocase Ascii breit
     $s5 = /\x251e3\x21\s*\x3d\x3d\s*[a-zA-Z]+\x3f1\x3a0/ Nocase Ascii breit

 Zustand:
     alle ($s *)
}

Artikel AdGholas_mem_MIME_M2
{
 Meta:
     Malfamily = "AdGholas"

 Saiten:
     $s1 = "geprägtem" Nocase ASCII-breite Fullword
     $s2 = "Pcap" Nocase ASCII-breite Fullword
     $s3 = "Saz" Nocase ASCII-breite Fullword
     $s4 = "Chls" Nocase ASCII-breite Fullword
     $s5 = /return[^\x3b\x7d\n]+href\s*=\s*[\x22\x27]\x2e[\x27\x22]\s*\+\s*[^\x3b\x7d\n]+\s*,\s*[^\x3b\x7d\n]+\.mimeType/ Nocase Ascii breit
     $s6 = /\x21==[a-zA-Z]+\x3f\x210\x3a\x211/ Nocase Ascii breit

 Zustand:
     alle ($s *)
}