Triangulation スパイウェア インプラントである TriangleDB を分析する from securelist.com
security summary
TriangleDB インプラントは、開発者によって割り当てられたメンバーとメソッドの名前を保持するプログラミング言語である Objective-C を使用してコード化されています。
通常、インプラントはプライマリ サーバーを使用し、エラーが発生した場合は、-[CRConfig swapLpServerType:] メソッドを呼び出してフォールバック サーバーに切り替えます。
0xF403 | CRXUpdateConfigInfo |インプラントの設定パラメータを変更します。
0xF901 | CRX更新レコード |コマンドの iM 引数に応じて、データをファイルに書き込むか、新しいモジュールをインプラントに追加します。
0xFA01 | CRX削除レコード |コマンドの引数に応じて、インプラント モジュールを削除するか、指定された名前のファイルを削除します。
TriangleDB を分析しているときに、クラス CRConfig (インプラントの構成の保存に使用される) に、populateWithFieldsMacOSOnly という名前のメソッドがあることがわかりました。
コメント