Malwarebytes Telemetrie


Kaspersky Logo


Ein zweiter Artikel zu Malwarebytes zum Thema "Telemetrie" oder in anderen Worten formuliert. Legitimierte Spyware.
Die Telemetrie von Malwarebytes ist relativ wissbegierig und nimmt das Klick/Auswahlverhalten von Nutzern auf.

Zusätzlich werden Daten zu installierten Dateien, Prozessids gleich ganze Ordnerstrukturen erfasst und an Malwarebytes gesendet. Eine eindeutige zuweisbare MaschinenID wird auch aufgenommen, wie Zeitstempel der Nutzung als auch in der Ordnerstruktur enthaltene Kontenname (ersichtlich in Datenblöcken 1 und 2) des eigenen Betriebssystems.

Wer eigene Realnamen verwendet, etwas in die Pornoecke installiert oder sensible Datenstrukturen auf dem eigenen System aufweist, sollte vorher genaustens überlegen welche Daten preisgegeben werden "möchten".


Leider wundert es bei diesem Vorgehen nicht, wenn der Dienst die geamte Laufzeit im Hintergrund aktiv ist und somit immer wieder mit frischen Daten versorgt wird. Wer sich das etwas genauer anguckt, findet auch nach einiger Zeit einen zweiten Dienst der involviert ist. Neben diesem Vorgehen sind noch Affiliate Links aktiv die permanent aktiv sind und mindestens die Hälfte des verursachten Hintergrundverkehrs ausmachen.

Malwarebytes Telemetrie

Malwarebytes Telemetrie

< > Malwarebytes Telemetrie
Kontonamen Erfassung

Kontonamen Erfassung

< > Kontonamen Erfassung


Verwendeter User-Agent


In meinem Fall war es eine aktivierte Businessversion von Malwarebytes. Die Kennung würde sich für die "Home" Version natürlich leicht ändern.
MDAM-B/3.8.3.2965/business

Kontaktierte IP-Adressen und hostnamen

54.187.91.107
54.244.17.248
54.70.191.27
99.86.115.60
72.247.172.221
hubble.mb-cosmos.com
telemetry.malwarebytes.com

Vollständige Adressen

https://telemetry.malwarebytes.com/api/v2/streams/applog/record
https://telemetry.malwarebytes.com/api/v2/streams/mwac/record
https://telemetry.malwarebytes.com/api/v2/streams/user_Actions/record
https://hubble.mb-cosmos.com/hashes
https://links.malwarebytes.com

Zusätzliche WerbeID's und Comparsiontracking mit "immer vertrauen" Bonus


Ein Beispiel wie schön es sein kann, wenn man selbst "Sicherheit" definieren kann ;]

https://links.malwarebytes.com/link/3x_cart?affiliate=37469&uuid=e6971c1bde92b1b866a4ccc16f5fe031b89d6a20&x-source=h_15million&x-action=comparison_chart&x-token_secret=jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ&ADDITIONAL_x-token_secret=jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ&x-prodcode=MDAM-B&lang=en
GET /link/3x_cart?affiliate=37469&uuid=e6971c1bde92b1b866a4ccc16f5fe031b89d6a20&x-source=h_15million&x-action=comparison_chart&x-token_secret=jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ&ADDITIONAL_x-token_secret=jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ&x-prodcode=MDAM-B&lang=en HTTP/1.1
Host: links.malwarebytes.com
Connection: Keep-Alive
Accept-Language: de-DE,en,*
User-Agent: Mozilla/5.0
Accept-Encoding: gzip, deflate

affiliate: 37469
uuid: e6971c1bde92b1b866a4ccc16f5fe031b89d6a20
x-source: h_15million
x-action: comparison_chart
x-token-ssecret: jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ
ADDITIONAL_x-token_secret: jgQTeomKKCX-ohzCvjCx3rRlQ3A5YmxdfbczB4Op8jvEB7G5_asY9HzfJOf-JiG1gf7qp5PQA5vmSjeUOP49p1V4rPp67Bw80yhlG2qoYndBNWJ-gpOV0y4R4ZeDUgNJ
x-prodcode: MDAM-B
lang: en

{
"results" : [
{
"classification" : "DO_NOT_DETECT",
"md5" : "542cdd8e479d0795e25139aca9c9a74a",
"reclassify" : true,
"send_file" : false,
"sha256" : "e1db408752123bb5f97d0f0d35c58d1cf4ba4d3eab93c7dea31780dcb4f3f487",
"trust_always" : true
}
]
}

Malwarebytes Geodatendaten und Anschlusserkennung von Nutzern


Neben den hier bereits genannten Beispielen der Malwarebytes Software gibt es noch eine Geodatenerfassung, die sich während eines Besuches auf der Webseite offenbart.

In dem Beispiel fehlt z.b. noch die Postleitzahl die mit aufgenommen wird. Getestet wurde mit VPN.
https://genesis.malwarebytes.com/api/v1/wai.gif

52.37.38.12
52.201.65.208
genesis.malwarebytes.com
GET /api/v1/wai.gif HTTP/1.1
Host: genesis.malwarebytes.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.9) Gecko/20100101 Goanna/4.3 Firefox/60.9 PaleMoon/28.6.1
Accept: */*
Accept-Language: en-US,en;q=0.5
Referer: https://www.malwarebytes.com/
Origin: https://www.malwarebytes.com
Connection: keep-alive
Accept-Encoding: gzip, deflate

{
"location": {
"city": "Tallinn",
"country": "Estonia",
"countryCode": "EE",
"state": "Harjumaa",
"stateCode": "37",
"latitude": "59.4339",
"longitude": "24.7281",
"continentCode": "EU"
},
"connectionDetails": {
"isp": "Tele2 SWIPnet",
"connectionType": "CABLE_DSL",
"autonomousSystemNumber": "1257",
"autonomousSystemOrg": "TELE2"
},
"ipHash": "328319e0dc5b30685afaa526ec5a3534",
"classC": "95.153.32",
"ip": "95.153.32.132"
}

Malwarebytes Telemetrie


Im ersten Beispiel wurde das Grafiktreiberpaket von NVidia installiert. Das Malwarbytes natürlich sofort erfasst und hat sich direkt am Kuchen verschluckt. Die Datei ist nämlich zu groß gewesen.
POST https://telemetry.malwarebytes.com/api/v2/streams/applog/record HTTP/1.1
Connection: Keep-Alive
User-Agent: MDAM-B/3.8.3.2965/business
Content-Type: application/json
ea_installed: false
Host: telemetry.malwarebytes.com
Content-Length: 749

{
"client" : {
"build" : "business",
"caller" : {
"name" : "MBAM",
"trigger" : "logmsg"
},
"components" : {
"CTLR" : "1.0.613",
"DBCLS" : "1.0.12147"
},
"db_update_timestamp" : "",
"program" : "MDAM-B",
"version" : "3.8.3.2965"
},
"event" : {
"context_tag" : "MBAMChameleon",
"file_name" : "fileverify.cpp",
"function_name" : "VerifyFile",
"line_number" : 531,
"log_level" : "ERROR",
"message" : "**** File is too large!! - 600080240 \\??\\C:\\Users\\xxxx64\\Downloads\\436.02-desktop-win10-64bit-international-whql-rp.exe",
"process_id" : 5184,
"thread_id" : 6628,
"time_stamp" : "2019-08-23T08:27:29.289000+02:00"
},
"header" : {
"installation_token" : "X18yEyXbLyx8P4DKud-n1566539077",
"machine_id" : "e6971c1bde92b1b866a4ccc16f5fe031b89d6a20",
"time" : "2019-08-23T08:27:31+02:00"
}
}

Malwarebytes Telemetrie Beispiel 2


In Beispiel 2 wurde meine Sandboxie-Installation ins Visier genommen. Dazu kommen genaue Versionsnummern des Programms, Dateibeschreibung, Copyrightdaten, natürlich wieder die Ordnerpfade, Dateinamen, MaschinenId's uvm.
{
"hashes" : [
{
"additional_scores" : [
{
"classification" : "Normal",
"detection_layer" : "1002",
"detection_sublayer" : "30000",
"model_id" : "0",
"score" : 0
}
],
"classification" : "Normal",
"detection_layer" : "1002",
"detection_sublayer" : "30000",
"facets" : {
"imphash" : "AB6770B0A8635B9D92A5838920CFE770",
"version_comments" : "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855:",
"version_company_name" : "6e4566113e74f0b0d4a07cd9803968d781a0bf3175cdb4ac0a25e75bab23484d:Sandboxie Holdings, LLC",
"version_copyright" : "d9dc8875b5a7b3563b46727647be9ef407224bda3e470743b21178702ca9cc3b:Copyright \\u00c2\\u00a9 2004-2019 by Sandboxie Holdings, LLC",
"version_file_description" : "3688e9559d76569462c09340d84f05fa2a59b434e9f78280773fe8b0b10d9c56:Sandboxie Installer",
"version_original_filename" : "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855:",
"version_product_name" : "0d7f2171c957de18a3ed8a6d09d8779ddb85089e049c2743630ce4db220a7593:Sandboxie"
}, "file_path" : "C:\\Users\\xxxx64\\AppData\\Local\\Temp\\SandboxieInstall-64-bit-6692234.exe",
"model_id" : "0",
"score" : 0,
"type" : "sha256",
"unexpanded_path" : "%TEMP%\\SandboxieInstall-64-bit-6692234.exe",
"value" : "aafa2739c75e0c9172092e943f8b3520f2b95bebe927760e68b70becccf99cc5"
}
],
"machine_id" : "e6971c1bde92b1b866a4ccc16f5fe031b89d6a20",
"product_build" : "business",
"product_code" : "MDAM-B",
"product_component" : "shuriken",
"product_component_database" : "2.2.3",
"product_component_version" : "2.2.3",
"product_scantype" : "RTP",
"product_version" : "3.8.3"
}

Erfassung von Kontennamen des eigenen Betriebssystems


Noch einmal eine seperate Erfassung der eigenen Daten.

54.86.73.139
https://my-device.malwarebytes.com//devices/xxxxxxxxLyx8P4DKud-xxxxxxxxxxx
HTTP/1.1 200 OK
Date: Fri, 30 Aug 2019 11:16:55 GMT
Content-Type: application/json
Connection: close
Set-Cookie: AWSALB=QqXugYOE1rEs9TKt4/9unZf7GY2msNYnDkGAgL5tfGAev6e0yKpD+mxVYrIyfjVlXECnE/f5FiItt/D4qf9rtg2IJNUbuqr3NCX8y8khEQVZ2OmGsFGqUYrucvjS; Expires=Fri, 06 Sep 2019 11:16:55 GMT; Path=/
ETag: W/"f2948fee34cd2e21f0c4a9947ddf08fb"
Cache-Control: max-age=0, private, must-revalidate
X-Request-Id: 0cbec8ff-11ac-4251-87f4-d928dfd4efaf
X-Runtime: 0.065848
Content-Length: 80

{"name":"DESKTOP-xxxx64","installation_token":"xxxxxxxxLyx8P4DKud-xxxxxxxxxxx"}
{
"installation_token" : "X18yEyXbLyx8P4DKud-xxxxxxxxxxx",
"name" : "DESKTOP-xxxx64"
}