Blog

Jul 14, 2023

Ich schwöre feierlich, dass mein Fahrer nichts Gutes im Schilde führt: Auf der Suche nach bescheinigungssignierter Malware

Bei einer aktuellen Incident Response-Untersuchung hat Mandiant einen bösartigen Treiber entdeckt, der zum Beenden ausgewählter Prozesse auf Windows-Systemen verwendet wird. In diesem Fall wurde der Treiber versuchsweise eingesetzt

Bei einer aktuellen Incident Response-Untersuchung hat Mandiant einen bösartigen Treiber entdeckt, der zum Beenden ausgewählter Prozesse auf Windows-Systemen verwendet wird. In diesem Fall wurde der Treiber verwendet, um den Endpoint Detection and Response (EDR)-Agenten auf dem Endpunkt zu beenden. Mandiant verfolgt den bösartigen Treiber und seinen Loader als POORTRY bzw. STONESTOP. Kurz nach der ersten Entdeckung entdeckte Mandiant ein POORTRY-Treiberbeispiel, das mit einer Microsoft Windows Hardware Compatibility Authenticode-Signatur signiert war. Eine sorgfältige Analyse der Authenticode-Metadaten des Treibers führte zu einer umfassenderen Untersuchung bösartiger Treiber, die über das Windows-Hardwarekompatibilitätsprogramm signiert wurden. Die Untersuchung ergab ein umfassenderes Problem:

Diese Studie wird zusammen mit einem Blogbeitrag unserer Kollegen bei SentinelOne veröffentlicht.

Beziehungen basieren auf Vertrauen. Das Gleiche gilt für die Beziehung, die wir zu der Software haben, auf die wir uns bei der täglichen Nutzung unserer Computer verlassen; Vertraue ich der Ausführung dieses Programms und warum? Software kann für Endbenutzer sehr undurchsichtig sein; Welche Mechanismen gibt es, um die Vertrauenswürdigkeit der Software zu überprüfen, wenn sie angeblich von Unternehmen X stammt?

[Street-John-Cena-Walk-out-Musik.]

Code Signing hat Einzug gehalten.

Das Signieren von Code ist ein Mittel, um die Integrität und Authentizität einer bestimmten Datei sicherzustellen. Softwareanbieter erhalten Zertifikate für die Code-Signierung von vertrauenswürdigen Zertifizierungsstellen (CA), die sich an die vom CA/Browser Forum und CA Security Council festgelegten Standards halten. In diesen Richtlinien werden die Anforderungen detailliert beschrieben. Dazu gehört die Überprüfung der rechtlichen Existenz und Identität des Unternehmens sowie die Tatsache, dass der Antragsteller des Zertifikats berechtigt ist, im Namen des Softwareanbieters zu handeln, den er zu vertreten vorgibt.

Dieses Zertifikat wird dann verwendet, um die Software zu signieren und ein Maß an Vertrauen zwischen der Software und dem Betriebssystem herzustellen. Die Richtlinien zur Durchsetzung der Codesignatur unterscheiden sich je nach Betriebssystem und Dateityp und reichen von der ausschließlichen Ausführung signierten Codes über die Minimierung von Sicherheitswarnungen für die Ausführung signierten Codes bis hin zur reinen digitalen Signatur, die die Authentizität einer Anwendung angibt.

Die Code-Signatur-Implementierung von Microsoft für Windows-Binärdateien ist als Authenticode bekannt. Authenticode verfügt über mehrere spezifische Funktionen für Treiber und Treiberpakete und unterstützt Hardwareanbieter dabei, ihre Treiber über das Windows-Hardwarekompatibilitätsprogramm ordnungsgemäß signieren zu lassen.

„Das Windows-Hardwarekompatibilitätsprogramm soll Ihrem Unternehmen dabei helfen, Systeme, Software und Hardwareprodukte bereitzustellen, die mit Windows kompatibel sind und zuverlässig unter Windows 10, Windows 11 und Windows Server 2022 laufen. Das Programm bietet außerdem Anleitungen zum Entwickeln, Testen und Verteilen von Treibern.“ . Mit dem Windows Hardware Dev Center-Dashboard können Sie Einreichungen verwalten, die Leistung Ihres Geräts oder Ihrer App verfolgen, Telemetriedaten überprüfen und vieles mehr.“

Der Prozess des Windows-Hardwarekompatibilitätsprogramms umfasst mehrere Phasen.

Für die Funktionsfähigkeit unter Windows 10 und höher können Treiber bei Microsoft eingereicht werdenUnterzeichnung der Bescheinigung.

Bei diesem Bescheinigungssignierungsprozess werden digitale Signaturen verwendet, um die Integrität der übermittelten Treiberpakete und die Identität des Softwareherausgebers zu überprüfen, der die Treiberpakete bereitgestellt hat. Dieser Prozess erfordert, dass die einreichende Organisation ihr Treiberpaket mit einem Extended Validation (EV)-Zertifikat signiert, das im Vergleich zu anderen Codesignaturzertifikaten höhere Identifizierungsanforderungen hat und stärkere Verschlüsselungsalgorithmen verwenden muss. Diese EV-Zertifikate werden von einem kleineren Kreis von Zertifizierungsstellen angeboten, die erhöhten Prüfanforderungen zugestimmt haben.

Als zusätzlichen Schritt können Anbieter ihren Treiber für Hardware Lab Kit (HLK)-Tests einreichen, um eine Windows-Zertifizierung zu erhalten. Wenn ein Treiber eine Bescheinigungssignatur erhält, ist er nicht Windows-zertifiziert. Eine Bescheinigungssignatur von Microsoft weist darauf hin, dass Windows dem Treiber vertrauen kann. Da der Treiber jedoch nicht in HLK Studio getestet wurde, gibt es keine Zusicherungen hinsichtlich Kompatibilität, Funktionalität usw.

Im Großen und Ganzen gibt es 9 Schritte zum Einreichen eines mit einer Bescheinigung signierten Treibers im Rahmen des Kompatibilitätsprogrammprozesses.

Das Ergebnis dieses Prozesses ist ein mit der Bescheinigung signierter Treiber.

Mandiant hat kontinuierlich beobachtet, dass Bedrohungsakteure kompromittierte, gestohlene und illegal erworbene Code-Signatur-Zertifikate verwenden, um Malware zu signieren, was Legitimität verleiht und Sicherheitskontrollen wie Richtlinien zur Zulassungsliste von Anwendungen untergräbt. Attestierungssignierte Treiber übernehmen das ihnen von der Zertifizierungsstelle gewährte Vertrauen und übertragen es in eine Datei, deren Authenticode-Signatur von Microsoft selbst stammt. Wir gehen mit großer Sicherheit davon aus, dass Bedrohungsakteure diesen Prozess unterwandert haben, indem sie illegal erworbene EV-Codesignaturzertifikate verwendet haben, um Treiberpakete über den Bescheinigungssignierungsprozess zu übermitteln und ihre Malware tatsächlich direkt von Microsoft signieren zu lassen.

Mandiant hat beobachtet, dass UNC3944 Malware verwendet, die über den Bescheinigungssignierungsprozess signiert wurde. Bei UNC3944 handelt es sich um eine finanziell motivierte Bedrohungsgruppe, die seit mindestens Mai 2022 aktiv ist und sich häufig mit gestohlenen Anmeldedaten aus SMS-Phishing-Operationen ersten Netzwerkzugang verschafft. In einigen Fällen konzentrierten sich die Ziele der Gruppe nach der Kompromittierung auf den Zugriff auf Zugangsdaten oder Systeme, die zum Ermöglichen von SIM-Swapping-Angriffen verwendet wurden, wahrscheinlich zur Unterstützung sekundärer krimineller Operationen außerhalb der Opferumgebungen.

UNC3944 wurde bereits im August 2022 beim Einsatz von STONESTOP und POORTRY beobachtet.

STONESTOP ist ein Windows-Benutzerdienstprogramm, das versucht, Prozesse zu beenden, indem es einen schädlichen Treiber erstellt und lädt. Mandiant verfolgt diesen bösartigen Treiber als POORTRY. POORTRY ist ein Windows-Treiber, der die Prozessbeendigung implementiert und ein Userland-Dienstprogramm benötigt, um die Funktionalität zu initiieren. Bei der Treibereingabe wird das Gerät \device\KApcHelper1 für die Interaktion durch User-Space-Dienstprogramme wie STONESTOP registriert.

Mandiant hat signierte POORTRY-Fahrer aus dem Jahr Juni 2022 mit einer Mischung aus Zertifikaten beobachtet, darunter auch gestohlene Zertifikate, die weit verbreitet waren. Die Verwendung von POORTRY tritt bei verschiedenen Bedrohungsgruppen auf und steht im Einklang mit Malware, die käuflich erworben oder frei zwischen verschiedenen Gruppen geteilt werden kann.

Kompilierzeit

Zeit für die Unterzeichnung

MD5

Allgemeiner Name des Zertifikatssubjekts

2022-06-02 10:09:08

20220811 13:27:00

10f3679384a03cb487bda9621ceb5f90

Zhuhai Liancheng Technology Co., Ltd.

2022-06-02 10:09:08

04a88f5974caa621cee18f34300fc08a

Zhuhai Liancheng Technology Co., Ltd.

2022-06-02 10:09:08

20220915 15:49:00

6fcf56f6ca3210ec397e55f727353c4a

Microsoft Windows Hardware Compatibility Publisher

2022-06-06 15:14:46

0f16a43f7989034641fd2de3eb268bf1

NVIDIA Corporation

2022-08-20 15:19:01

20220821 05:43:00

ee6b1a79cb6641aa44c762ee90786fe0

Microsoft Windows Hardware Compatibility Publisher

2022-10-02 19:48:02

20221019 17:15:00

909f3fc221acbe999483c87d9ead024a

Microsoft Windows Hardware Compatibility Publisher

Im Gegensatz zu den früheren Beispielen, von denen viele falsch signiert waren, ist dieses POORTRY-Beispiel rechtmäßig signiert und mit einem Microsoft Windows Hardware Compatibility Publisher-Zertifikat verifiziert. Dabei handelt es sich um ein Microsoft-Zertifikat, das im gesamten Zertifizierungsprogramm verwendet wird und daher auch in großem Umfang für legitime Binärdateien verwendet wird.

Der für die Bescheinigungssignierung verwendete öffentliche Schlüssel (Anhang C: POORTRY-Zertifikatdetails) enthält zwei interessante Objektkennungen (OIDs) innerhalb des Schlüsselverwendungswerts:

Erweiterte Schlüsselverwendung für X509v3:

RFC 5280 Abschnitt 4.2.1.12 definiert Extended Key Usage (EKU). Die EKU-Werte in dieser Signatur helfen dabei, festzustellen, welche Methode zum Signieren dieser Datei verwendet wurde und für welche Zwecke dieses Signaturzertifikat verwendet werden kann. Die definierten Werte zeigen, dass dieses Zertifikat im Windows-Hardwarekompatibilitäts-Treibersignaturprozess und speziell für die Bescheinigung signierter Treiber verwendet wird. Tabelle 1 zeigt die OID-Beschreibungen.

EKU-OID

Symbolischer Name

Beschreibung

1.3.6.1.4.1.311.10.3.5

szOID_WHQL_CRYPTO

Überprüfung des Windows-Hardwaretreibers

1.3.6.1.4.1.311.10.3.5.1

szOID_ATTEST_WHQL_CRYPTO

Bestätigte Überprüfung des Windows-Hardwaretreibers

Die Verbindung zwischen dem POORTRY-Beispiel, dem Bescheinigungszertifikat und den zahlreichen legitimen, mit diesem Zertifikat signierten Beispielen veranlasste Mandiant, mit großer Sicherheit zu der Einschätzung zu gelangen, dass diese Malware über den Windows-Hardwarekompatibilitätsprozess verifiziert wurde.

RFC 2315 für die PKCS #7 v1.5-Spezifikation definiert einen SignerInfo-Inhaltstyp, der für Authenticode-signierte PEs mehrere interessante Strukturen enthält, die zur Identifizierung von Beispielen im Zusammenhang mit dem ursprünglich identifizierten POORTRY-Treiber (6fcf56f6ca3210ec397e55f727353c4a) verwendet werden können.

Das interessierende Feld programName ist im SpcSpOpusInfo-Attribut enthalten, das spezifisch für Authenticode ist. Mandiant geht mit hoher Sicherheit davon aus, dass das Feld „programName“ (im Folgenden „Programmname“ genannt) für attestiert signierte Treiber identifizierbare Informationen über den einzelnen Hardwareanbieter enthält, der den Treiber zur Attestierungssignierung eingereicht hat.

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

Dieses Feld wird zu einem wichtigen Artefakt zur Identifizierung zusätzlicher zugehöriger Proben, und durch die Orientierung am Programmnamen identifizierte Mandiant elf neue verdächtige Dateien, darunter eine zusätzliche POORTRY-Probe.

MD5

Familie

Dateiname

Unterschriftsdatum

6fcf56f6ca3210ec397e55f727353c4a

POORTRY

4.sys

15.09.2022 11:49

ee6b1a79cb6641aa44c762ee90786fe0

POORTRY

NodeDriver.sys

21.08.2022 01:43

1f2888e57fdd6aee466962c25ba7d62d

Air_SYSTEM10.sys

01.10.2022 11:43

22949977ce5cd96ba674b403a9c81285

PcieCubed.sys

20.08.2022 09:37

4e1f656001af3677856f664e96282a6f

Sense5Ext.sys

09.08.2022 07:20

7f9309f5e4defec132b622fadbcad511

24.08.2022 07:33

acac842a46f3501fe407b1db1b247a0b

23.08.2022 04:40

b164daf106566f444dfb280d743bc2f7

17.08.2022 10:48

bd25be845c151370ff177509d95d5add

2.sys

19.09.2022 24:33

dc564bac7258e16627b9de0ce39fae25

7.sys

19.08.2022 08:03

f9844524fb0009e5b784c21c7bad4220

Sense5Ext.sys

22.08.2022 14:48

Das Feld „programName“ für durch Attestierung signierte Treiber scheint mit dem X.509 Subject Organization Name (O) des EV Code Signing-Zertifikats gefüllt zu sein, das zum Signieren der ersten CAB-Übermittlung an das WHCP-Portal verwendet wird. Dies wird durch die hohe Anzahl bösartiger Erkennungen für Proben bestätigt, die mit diesem Organisationsnamen und anderen entsprechenden Programmnamenwerten auf VirusTotal und in anderen Mandiant-Datensätzen verknüpft sind. Zum Zeitpunkt des Verfassens dieses Artikels konnten wir Microsoft nicht bestätigen, dass dies der genaue Mechanismus ist, mit dem das Feld „programName“ für zertifizierte Treiber ausgefüllt wird.

MD5

Familie

Zertifikatsserie

05a56a88f34718cabd078dfd6b180ed0

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

2406150783d3ec5de13c2654db1a13d5

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

29506adae5c1e97de49e3a0d3cd974d4

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

48c1288cd35504de6f4bd97ec02decb1

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

578e70a8a7c1972bbc35c3e14e53cbee

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6216fba5cf44aa99a73ca919301142e9

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

69fa8946c326d4b66a371608d8ffbe5e

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6e4e37641e24edc89cfa3e999962ea34

Schneller Reverse-Proxy

0c:25:f1:f2:a8:d4:a2:93:21:e8:28:6e:ed:50:e3:e2

8a930742d1da0fcfe5492d4eb817727c

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

8fbad6e5aa15857f761e6a7a75967e85

SOGU-Launcher

03:25:0b:78:25:67:56:fc:10:db:c6:7a:22:52:7b:44

976bac6cfb21288b4542d5afe7ce7be7

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

aaeedaa5880e38dc63a5724cf18baf13

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

ab5d85079e299ac49fcc9f12516243de

SOGU-Launcher

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

c43de22826a424b2d24cf1b4b694ce07

SOGU-Launcher

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

d312a6aeffec3cff78e9fad141d3aaba

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

d36084aad079ca8d91c2985eca80327b

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

e086d7d5a5657800a0d7e9c144fac16d

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

Alle beobachteten entsprechenden EV-Code-Signing-Zertifikate wurden von Digicert ausgestellt. Im Laufe der Zeit wurde die Zertifikatsserie 01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52 widerrufen, mehrere andere scheinen jedoch nicht widerrufen worden zu sein (fett gedruckt). Tabelle 4). Diese entsprechenden Zertifikate der erweiterten Validierung wurden zum Signieren von Startern für SOGU-Malware verwendet, die von Temp.Hex verwendet werden, sowie für signierte Distributionen des Open-Source-Tools Fast Reverse Proxy, das von mutmaßlichen staatlich geförderten iranischen Bedrohungsakteuren bei von Mandiant beobachteten Einbrüchen verwendet wurde.

Unter Verwendung der OIDs und Zertifikatsdaten wurden YARA-Regeln entwickelt, um zusätzliche zertifizierte Treiber zu sammeln.

Die Untersuchung dieser zusätzlichen zertifizierten Treiber führte zu 57 verdächtigen Beispielen, die Programmnamen teilten, die in bösartigen Binärdateien beobachtet wurden (Anhang B: Indikatoren von Interesse). Diese Samples waren auf neun verschiedene Programmnamen verteilt.

Qi Lijun

Luck Bigger Technology Co., Ltd

XinSing Network Service Co., Ltd

Hangzhou Shunwang Technology Co., Ltd

Fuzhou Superman

Peking Hongdao Changxing International Trade Co., Ltd.

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

Xiamen Hengxin Excellent Network Technology Co., Ltd.

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

Die im Rahmen dieser Untersuchung identifizierten verdächtigen Proben haben zu mehreren Artefakten in der Entwicklungsumgebung geführt, insbesondere zu Programmdatenbankpfaden (PDB), was auf mehrere unterschiedliche Entwicklungsumgebungen und möglicherweise mehrere unterschiedliche Malware-Autoren schließen lässt.

Mandiant hat bereits Szenarien beobachtet, in denen der Verdacht besteht, dass Gruppen einen gemeinsamen kriminellen Dienst für die Code-Signierung nutzen. Dies ist kein neues Phänomen und wurde 2017 vom Certified Malware-Projekt an der University of Maryland dokumentiert. Mandiant geht davon aus, dass dies bei diesen verdächtigen, mit Attesten signierten Treibern und zugehörigen, mit EVs signierten Beispielen der Fall ist.

Der Einsatz gestohlener oder betrügerisch erlangter Codesignaturzertifikate durch Bedrohungsakteure ist eine gängige Taktik und die Bereitstellung dieser Zertifikate oder Signierungsdienste hat sich als lukrative Nische in der Schattenwirtschaft erwiesen. Mandiant hat zahlreiche Bedrohungsakteure und Dienste identifiziert, die in verschiedenen Sprachen, darunter Englisch, Russisch und Chinesisch, werben und behaupten, im Namen von Bedrohungsakteuren Code-Signatur-Zertifikate bereitzustellen oder Malware zu signieren. Beispielsweise identifizierte Mandiant bei der Analyse von durchgesickerten Chatnachrichten des Twitter-Benutzers „@ContiLeaks“ mehrere Fälle, in denen Bedrohungsakteure, die an Trickbot-Operationen beteiligt waren, Codesignaturzertifikate von mehreren Bedrohungsakteuren kauften, wobei die beobachteten Preise zwischen etwa 1.000 und 3.000 US-Dollar für ein einzelnes Zertifikat lagen Zertifikat.

Während in den meisten dieser Anzeigen nur EV-Codesignaturzertifikate erwähnt werden, haben wir eine kleine Anzahl von Diskussionen identifiziert, die sich auf die Signierung von Treibern über WHQL konzentrieren. Während sich die meisten dieser Diskussionen über die Herausforderungen beklagten, die die WHQL-Beschränkungen mit sich bringen, haben wir mindestens einen Akteur beobachtet, der Erfahrung mit der Unterzeichnung von Fahrern mit WHQL erwähnte, und wir haben auch mehrere Websites im offenen Internet identifiziert, die WHQL-Fahrerunterzeichnungsdienste für Unternehmen bewerben. Obwohl wir die bei dieser Aktivität beobachteten signierten Payloads nicht mit einem der identifizierten Dienste in Verbindung bringen können, ist es plausibel, dass die Akteure entweder Dienste aus Untergrundforen in Anspruch nehmen oder kommerzielle Dienste missbrauchen, um signierte Treiber-Malware zu erhalten.

Es entsteht ein Muster von mutmaßlich böswillig signierten Attestierungstreibern, die den programName enthalten, der EV-Zertifikaten entspricht, die auch andere mutmaßlich bösartige Beispiele signiert haben. Die Zertifikate scheinen hauptsächlich über Digicert und Globalsign an chinesische Kunden ausgestellt zu werden, was auf einen möglichen Missbrauch eines Zertifikats-Resellers oder Signaturdienstes auf dem chinesischen Markt hindeutet.

Angesichts der verschiedenen identifizierten Firmennamen und der unterschiedlichen Entwicklungsumgebungen vermutet Mandiant, dass es einen Dienstleister gibt, der diese Malware-Samples im Namen der Akteure durch den Attestierungsprozess signieren lässt. Leider wird diese Einschätzung zum jetzigen Zeitpunkt mit geringer Sicherheit abgegeben.

Bei der Attestierungssignierung handelt es sich um ein legitimes Microsoft-Programm, und die resultierenden Treiber werden mit legitimen Microsoft-Zertifikaten signiert. Dies erschwert die Erkennung der Ausführungszeit, da Microsoft und die meisten EDR-Tools das Laden von Microsoft-signierten Binärdateien ermöglichen. Stattdessen müssen sich Organisationen auf Verhaltenserkennung verlassen, um das implizite Vertrauen, das Microsoft-signierten Binärdateien gewährt wird, zu überwinden und bei verdächtigen oder Rootkit-ähnlichen Aktivitäten zu warnen. Für die proaktive Suche gibt es jedoch zahlreiche Möglichkeiten, nach diesen Dateien zu suchen.

Die OLEs ermöglichen die Implementierung einer Erkennung, um alle Binärdateien zu identifizieren, die über den Attestierungsprozess signiert werden. Diese Regel hängt vom Vorhandensein der OLEs und des Microsoft Windows Hardware Compatibility Publisher-Zertifikatsubjekts ab.

Die identifizierten Firmennamen, die im Namen des Zertifikatsprogramms enthalten waren, können zur Identifizierung potenziell verdächtiger Proben verwendet werden. Beachten Sie jedoch, dass aufgrund der Art dieser Zertifikate nicht alle Proben mit dem Zertifikat bösartig sind, sondern lediglich in der Vergangenheit missbraucht wurden und eine weitere Untersuchung erforderlich macht.

Der VirusTotal-Datensatz verfügt über zusätzliche Daten, auf die über LiveHunt-Regeln zugegriffen werden kann. Dazu gehören verschiedene Tags und andere Metadaten aus der zugehörigen Sandbox-Ausführung. Diese Informationen können verwendet werden, um mutmaßlich böswillig signierte Binärdateien zu identifizieren, indem die Regel M_Hunting_Signed_Driver_Attestation_1 mit den Metadaten der Schadsoftware kombiniert wird.

Wie im Definitive Dossier of Devilish Debug Details dokumentiert, können PDB-Pfade verwendet werden, um in der Malware vorhandene Zeichenfolgen zu identifizieren. Es ist jedoch wichtig zu bedenken, dass dies eine Folge der Malware und der Malware-Entwickler ist und nicht des Zertifikats oder der Signatur Verfahren.

Die vollständige Liste der Erkennungen finden Sie in Anhang A: YARA.

Durch den Zertifizierungsprozess wird die Verantwortung für die Überprüfung der Identität des anfordernden Hardware- oder Softwareanbieters auf die Zertifizierungsstellen übertragen. Theoretisch ist dies ein gültiger Prozess, da die Zertifizierungsstellen vereinbarte Verfahren befolgen müssen, um die Identität der anfragenden Stelle und die Befugnis der Person, die den Antrag stellt, zur Vertretung des Softwareanbieters zu überprüfen. Dieses Verfahren wird jedoch missbraucht, um von Microsoft signierte Schadsoftware zu erhalten.

Dies ist kein neues Ereignis; Sowohl GData als auch BitDefender haben im Jahr 2021 Berichte über von Microsoft signierte bösartige Treiber veröffentlicht. „Microsoft hat ein bösartiges Netfilter-Rootkit signiert“ und „Digital signierte Rootkits sind zurück – Ein Blick auf FiveSys und Companions“ besprochen bösartige Treiber, die über denselben hier beschriebenen Nachweisprozess signiert wurden Blogeintrag.

Während sich dieser Blog-Beitrag auf POORTRY und den Attestierungssignierungsprozess konzentrierte, hat Mandiant beobachtet, dass auch andere Malware per Attestierung signiert wird. TEMPLESHOT ist eine Malware-Familie, die aus Dropper, Backdoor, einem Filtertreiber und einem Schutztreiber besteht. Der TEMPLESHOT-Treiber mit MD5 48bf11dd6c22e241b745d3bb1d562ca1 wurde in freier Wildbahn beobachtet und ist per Attestierung signiert.

Der Einsatz der Signify-Python-Bibliothek machte die automatisierte Analyse von Authenticode-Daten äußerst effizient. Dieser Inhalt wäre ohne die Unterstützung von Analysten der Organisationen Mandiant Intelligence und FLARE nicht möglich gewesen.

Import „ein“

Regel M_Hunting_Signed_Driver_Attestation_1

{

Meta:

Autor = „Mandiant“

date_created = „20.10.2022“

date_updated = „24.04.2022“

revision = "2" //Verfeinerte OID-Beschreibungen und Variablennamen

Beschreibung = „Suchen Sie nach Treibern, die nur über die Microsoft-Bescheinigungssignierung signiert wurden (keine EV-Zertifikatssignierung außerhalb von Microsoft Windows Hardware Compatibility Publisher)“ //https://learn.microsoft.com/en-us/windows-hardware/drivers/dashboard/code -Unterzeichnungsbescheinigung

Saiten:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Bestätigung durch Windows-Hardwaretreiber – „szOID_ATTEST_WHQL_CRYPTO“

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

Zustand:

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" und

$whql_attest_oid und

$spc_sp_opus_info_oid und

$spc_statement_type

}

Import „ein“

Regel M_Win_Hunting_CertEngine_Attestation_ProgramName_1

{

Meta:

Autor = „Mandiant“

date_created = „20.10.2022“

date_updated = „24.04.2022“

revision = "2" //Verfeinerte OID-Beschreibungen und Variablennamen; Korrigierte Unicode-UTF-16-Bytes für Unicode-Programmnamenvariablen

Beschreibung = „Suchen Sie nach Treibern, die über die Microsoft-Bescheinigungssignierung nur mit einem der identifizierten Firmennamen von Interesse signiert wurden.“

Saiten:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Bestätigung durch Windows-Hardwaretreiber – „szOID_ATTEST_WHQL_CRYPTO“

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

$unicode1 = {59278FDE 7EB568A6 7F517EDC 79D16280 67099650 516C53F8}

$unicode2 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}

$unicode3 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64}

$unicode4 = {58 00 69 00 6e 00 53 00 69 00 6e 00 67 00 20 00 4e 00 65 00 74 00 77 00 6f 00 72 00 6b 00 20 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64}

$unicode5 = {48 00 61 00 6e 00 67 00 7a 00 68 00 6f 00 75 00 20 00 53 00 68 00 75 00 6e 00 77 00 61 00 6e 00 67 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 4c 00 74 00 64}

$unicode6 = {54 00 41 00 20 00 54 00 72 00 69 00 75 00 6d 00 70 00 68 00 2d 00 41 00 64 00 6c 00 65 00 72 00 20 00 47 00 6d 00 62 00 48}

$unicode7 = {798f 5dde 8d85 4eba}

$unicode8 = {5317 4eac 5f18 9053 957f 5174 56fd 9645 8d38 6613 6709 9650 516c 53f8}

$unicode9 = {798f 5efa 5965 521b 4e92 5a31 79d1 6280 6709 9650 516c 53f8}

$unicode10 = {53a6 95e8 6052 4fe1 5353 8d8a 7f51 7edc 79d1 6280 6709 9650 516c 53f8}

Zustand:

$whql_attest_oid und

$spc_sp_opus_info_oid und

$spc_statement_type und

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" und

(1 von ($unicode*))

}

„vt“ importieren

Import „ein“

Regel M_CertEngine_Malicious_Attestation_Signed_Driver

{

Meta:

Autor = „Mandiant“

date_created = „20.10.2022“

date_updated = „24.04.2022“

revision = "2" //Verfeinerte OID-Beschreibungen und Variablennamen

Beschreibung = „Finden Sie einen Treiber, der nur über die Microsoft-Bescheinigungssignierung signiert wurde und mehr als 3 böswillige Treffer in VirusTotal aufweist.“

Saiten:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Bestätigung durch Windows-Hardwaretreiber – „szOID_ATTEST_WHQL_CRYPTO“

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

Zustand:

für jedes Tag in vt.metadata.tags : ( tag == "signed" ) und

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" und

vt.metadata.analysis_stats.malicious > 3 und

$whql_attest_oid und

$spc_sp_opus_info_oid und

$spc_statement_type

}

Regel M_Hunting_Win_ConventionEngine_PDB_Attestation_Multiple_1

{

Meta:

Autor = „Mandiant“

date_created = „20.10.2022“

description = „Suche nach PDB-Pfadzeichenfolgen, die in bösartigen Beispielen beobachtet wurden, die attestiert wurden.“

Saiten:

$anchor = "RSDS"

$pdb1 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}gamehacks.{0,250}boot_driver.{0,250}\.pdb\x00/ nocase

$pdb2 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}MyDriver1.{0,250}wfp_vpn.{0,250}\.pdb\x00/ nocase

$pdb3 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}FilDriverx64_win10.{0,250}\.pdb\x00/ nocase

$pdb4 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RedDriver_win10.{0,250}\.pdb\x00/ nocase

$pdb5 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}sellcode.{0,250}MyDriver.{0,250}\.pdb\x00/ nocase

$pdb6 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}Benutzer\\ljl11{0,250}\.pdb\x00/ nocase

$pdb7 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RkDriver64.{0,250}MyDriver1.{0,250}\.pdb\x00/ nocase

$pdb8 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}\\ApcHelper.{0,250}TSComputerManager.{0,250}\.pdb\x00/ nocase

Zustand:

(uint16(0) == 0x5A4D) und uint32(uint32(0x3C)) == 0x00004550 und Dateigröße < 20 MB und $anchor und (1 von ($pdb*))

}

Diese Tabelle ist nach Unterschriftsdatum sortiert. Das Signaturdatum ist ein authentifiziertes Attribut, das den Zeitstempel der Signatur enthält. Durch Sortieren nach diesem Datum können Leser sehen, wie der Programmname im Laufe der Zeit verwendet und geändert wurde.

Eine Probe (688c138fffbb4e7297289433c79d62f5) hat kein Signaturdatum, und dies ist wahrscheinlich auf binäre Manipulationen zurückzuführen, einschließlich der Verwendung von VMProtect nach dem Signieren und anderen Änderungen.

MD5

Programmname

Unterschriftsdatum

688c138fffbb4e7297289433c79d62f5

Peking Hongdao Changxing International Trade Co., Ltd.

N / A

0b4a0fe7db8400ef65ce7618177351cf

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

09.07.2021 11:35

6e3516775e7e009777dcdb7a314f1482

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

19.07.2021 07:39

ea5f6ab5666193f805d13a49009f0699

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

20.07.2021 06:43

63960dbc7d63767edb6e1e2dc6f0707b

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

28.07.2021 13:05

ddee86b84dcb72835b57b1d049e9e0cd

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

29.07.2021 09:25

19d99758b1f33b418cb008530b61a1e7

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

29.07.2021 10:02

f9aad310a5d5c80bbc61d10cc797e4f0

Peking Hongdao Changxing International Trade Co., Ltd.

06.11.2021 17:38

ff43f91f2465504e5e67d0b37d92ef18

Xiamen Hengxin Excellent Network Technology Co., Ltd.

30.12.2021 06:12

45be5c0e7dfe37f88f1fa6c2fbb462c5

Xiamen Hengxin Excellent Network Technology Co., Ltd.

13.01.2022 24:00

26d6833b1875b138ea34d6ab430cafcd

Xiamen Hengxin Excellent Network Technology Co., Ltd.

07.02.2022 03:47

561bc6902367d9e43e27c5543e7a5818

Xiamen Hengxin Excellent Network Technology Co., Ltd.

09.02.2022 11:35

929b293090bcc7900c1e8f9ba519e219

Xiamen Hengxin Excellent Network Technology Co., Ltd.

13.02.2022 12:25

b500ee8d8cb045936d2996a1747bcded

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 24:25

42200c8422347f63b3edb45ea5aa9c45

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 12:25

48fc05c42549d0b3ec9e73bbb5be40dc

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 12:25

bf13a2f4e2deb62b7dee98a012e94d61

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 12:25

d66fc4e2f537566bb4d91cdea0ac64e5

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 12:25

de4b5043c82ab3b36b4ae73a2e96d969

Xiamen Hengxin Excellent Network Technology Co., Ltd.

14.02.2022 12:25

cc29cf2294175315acbf33054151f3cd

Xiamen Hengxin Excellent Network Technology Co., Ltd.

15.02.2022 06:07

6e730cf4ebcd166d26414378cab3a6d8

Xiamen Hengxin Excellent Network Technology Co., Ltd.

18.02.2022 06:58

8e4d0f679b092296a2f74cf812907d05

Xiamen Hengxin Excellent Network Technology Co., Ltd.

18.02.2022 06:58

f8ccabcbe08bbd2c8420f4d1cffcefd8

Xiamen Hengxin Excellent Network Technology Co., Ltd.

18.02.2022 06:58

9f1d3b0fb49e063f4804aa60b7b708ac

Xiamen Hengxin Excellent Network Technology Co., Ltd.

18.02.2022 08:23

2bbfb9cb4550109da5ae336d3d3dd984

Xiamen Hengxin Excellent Network Technology Co., Ltd.

23.02.2022 03:55

42a417e54639c69f033f72bbafe6e09a

Peking Hongdao Changxing International Trade Co., Ltd.

25.02.2022 09:18

7ee0c884e7d282958c5b3a9e47f23e13

Peking Hongdao Changxing International Trade Co., Ltd.

26.02.2022 24:58

66c145233576766013688088b03103e3

Xiamen Hengxin Excellent Network Technology Co., Ltd.

08.03.2022 07:16

1f929fd617471c4977b522c71b4c91ed

Peking Hongdao Changxing International Trade Co., Ltd.

26.03.2022 24:09

4a0f22286134a58d9d20f911a608f636

Fuzhou Superman

28.03.2022 09:34

947ebc3f481a7b9ee3cf3a34d9830159

Fuzhou Superman

28.03.2022 09:40

33b5485b35b33fd8ead5a38899522cce

Fuzhou Superman

28.03.2022 10:20

721b40a0c2a0257443f7dcc2c697e28a

Fuzhou Superman

09.04.2022 17:06

b44dfd8c5e7b0c8652d7a647dfe252e4

Fuzhou Superman

03.05.2022 09:25

1a57c1d80018bfef1e243f9eba2955f2

Peking Hongdao Changxing International Trade Co., Ltd.

09.05.2022 01:18

ac2a1f2ae6b547619bef93dfadb48937

Fuzhou Superman

19.05.2022 07:09

8ac6ef2475ec89d3709fc124573cb380

Peking Hongdao Changxing International Trade Co., Ltd.

31.05.2022 11:06

b34403502499741762912c7bfc9ff21f

Hangzhou Shunwang Technology Co., Ltd

13.06.2022 08:25

734b3a6e6cbd1f53fbb693140d2c3049

Peking Hongdao Changxing International Trade Co., Ltd.

13.06.2022 08:45

c0471f78648643950217620f6e7e24cc

Peking Hongdao Changxing International Trade Co., Ltd.

13.06.2022 08:45

228f9f0a0466fba21ac085626020a8e1

Qi Lijun

02.08.2022 16:10

65a3f812ea031f4d53ba09f33c058ab6

Qi Lijun

02.08.2022 16:10

7d78b5773845c5189ca09227d27a9d5a

Qi Lijun

03.08.2022 01:56

e7ff38a94ad765eb305fc7f0837f5913

Qi Lijun

03.08.2022 01:58

4e1f656001af3677856f664e96282a6f

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

09.08.2022 07:20

b164daf106566f444dfb280d743bc2f7

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

17.08.2022 10:48

dc564bac7258e16627b9de0ce39fae25

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19.08.2022 08:03

22949977ce5cd96ba674b403a9c81285

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

20.08.2022 09:37

ee6b1a79cb6641aa44c762ee90786fe0

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

21.08.2022 01:43

f9844524fb0009e5b784c21c7bad4220

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

22.08.2022 14:48

acac842a46f3501fe407b1db1b247a0b

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

23.08.2022 04:40

7f9309f5e4defec132b622fadbcad511

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

24.08.2022 07:33

7ba744b584e28190eb03b9ecd1bb9374

XinSing Network Service Co., Ltd

07.09.2022 02:24

6fcf56f6ca3210ec397e55f727353c4a

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

15.09.2022 11:49

bd25be845c151370ff177509d95d5add

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19.09.2022 24:33

1f2888e57fdd6aee466962c25ba7d62d

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

01.10.2022 11:43

909f3fc221acbe999483c87d9ead024a

Luck Bigger Technology Co., Ltd

19.10.2022 13:15

Die folgende Tabelle enthält signierte POORTRY-Beispiele.

Kompilierzeit

Unterzeichnungsstatus

Signierzeit

PDB-Pfad

MD5

Dateiname

Seriell

Gemeinsamen Namen

20220602 10:09:08

Widerrufen

20220811 13:27:00

D:\KApcHelper\x64\Release\KApcHelper.pdb

10f3679384a03cb487bda9621ceb5f90

prokiller64.sys

62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b

Zhuhai Liancheng Technology Co., Ltd.

20220602 10:09:08

Widerrufen

D:\KApcHelper\x64\Release\KApcHelper.pdb

04a88f5974caa621cee18f34300fc08a

gftkyj64.sys

62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b

Zhuhai Liancheng Technology Co., Ltd.

20220602 10:09:08

20220915 15:49:00

6fcf56f6ca3210ec397e55f727353c4a

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

20220606 15:14:46

Abgelaufen

D:\KApcHelper\x64\Release\KApcHelper.pdb

0f16a43f7989034641fd2de3eb268bf1

KApcHelper_x64.sys

43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5

NVIDIA Corporation

20220820 15:19:01

20220821 05:43:00

ee6b1a79cb6641aa44c762ee90786fe0

NodeDriver.sys

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

20221002 19:48:02

20221019 17:15:00

909f3fc221acbe999483c87d9ead024a

LcTkA.sys

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

Die folgende Tabelle enthält von EV-Zertifikaten signierte Beispiele, bei denen der Organisationsname Dalian Zongmeng Network Technology Co., Ltd. lautet.

Kompilierzeit

Signierte Zeit

MD5

Familie

Dateiname

Zertifikatsserie

Allgemeiner Name des Zertifikatausstellers

Name der Organisation

19700101 00:00:00

20201006 16:26:00

05a56a88f34718cabd078dfd6b180ed0

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20201128 18:12:00

2406150783d3ec5de13c2654db1a13d5

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20210226 22:11:00

29506adae5c1e97de49e3a0d3cd974d4

Schneller Reverse-Proxy

%home%\unpack\sakuralauncher_v2.0.1.2\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20220219 13:29:00

48c1288cd35504de6f4bd97ec02decb1

Schneller Reverse-Proxy

svchost.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20200820 12:34:00

578e70a8a7c1972bbc35c3e14e53cbee

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20201128 18:13:00

6216fba5cf44aa99a73ca919301142e9

Schneller Reverse-Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20220219 13:29:00

69fa8946c326d4b66a371608d8ffbe5e

Schneller Reverse-Proxy

frpc_windows_amd64.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20200802 07:11:00

6e4e37641e24edc89cfa3e999962ea34

Schneller Reverse-Proxy

frpc.exe

0c:25:f1:f2:a8:d4:a2:93:21:e8:28:6e:ed:50:e3:e2

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20210605 19:09:00

8a930742d1da0fcfe5492d4eb817727c

Schneller Reverse-Proxy

c:\Programme\sakurafrplauncher\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

20211220 07:37:56

8fbad6e5aa15857f761e6a7a75967e85

SOGU-Launcher

powerdvd18.exe

03:25:0b:78:25:67:56:fc:10:db:c6:7a:22:52:7b:44

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20201224 19:02:00

976bac6cfb21288b4542d5afe7ce7be7

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20210605 19:09:00

aaeedaa5880e38dc63a5724cf18baf13

Schneller Reverse-Proxy

frpc_windows_386.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

20200704 03:53:04

20200704 08:13:00

ab5d85079e299ac49fcc9f12516243de

SOGU-Launcher

SmadavMain.exe

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

DigiCert High Assurance Code Signing CA-1

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

20200522 10:23:03

20200523 06:16:00

c43de22826a424b2d24cf1b4b694ce07

SOGU-Launcher

AdobeHelp.exe

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

DigiCert High Assurance Code Signing CA-1

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20201006 16:28:00

d312a6aeffec3cff78e9fad141d3aaba

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20210321 09:12:00

d36084aad079ca8d91c2985eca80327b

Schneller Reverse-Proxy

c:\Programme\sakurafrplauncher\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

19700101 00:00:00

20201224 19:02:00

e086d7d5a5657800a0d7e9c144fac16d

Schneller Reverse-Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

Dalian Zongmeng Netzwerktechnologie Co., Ltd.

Die folgende Liste von MD5s sind bescheinigungssignierte Binärdateien, die von zahlreichen Sicherheitslösungen als verdächtig identifiziert wurden. Auch wenn nicht jede davon direkt böswillig ist, rechtfertigen sie doch eine Untersuchung, falls sie in einer Umgebung vorhanden sind.

0080fde587d6aedccb08db1317360d32

ff985a86bfa60576a8e86b05603ac5fa

b00c95692923b8c1e2d45c4a64a5ff05

00a7538086c266e8bcf8a0b1c2b6a2e4

62f289f3b55b0886c419a5077d11eb3c

b0fea98c70e510f88b57f45a3f516326

00dd476fa04da76fc2ed37cfdde59875

63960dbc7d63767edb6e1e2dc6f0707b

b164daf106566f444dfb280d743bc2f7

024e92733def0b1180f0ee54b81e5836

63d877650a3219f5991fd66bafc46bc5

b34403502499741762912c7bfc9ff21f

03710450e5bebd207bbe471c4685dc49

64a81238d20dcbd4b21abb609040f698

b44dfd8c5e7b0c8652d7a647dfe252e4

07bac50f875f09ad644827c8918e6837

66c145233576766013688088b03103e3

b500ee8d8cb045936d2996a1747bcded

07c4309678ce891fdd868e10c6e7aad4

66d2860a078fb11832ceef28b23481c2

b5c73db8e70d6f46ad9b693f3ce060d2

0ae78b90151ec2b0457bb0c2675048f5

67ff9de8e72c4dfdf4b4404abf253e7e

b7239e06bcbe6e2c7bb2f7a859cbf4f7

0b4a0fe7db8400ef65ce7618177351cf

688c138fffbb4e7297289433c79d62f5

b83d8761748abb032ab5ae75519eaf71

0d0ffa28823276732a9e4dea5c25cc34

688ca3c12b63fec9f921334d24cf6f78

b849deae20052d72c3c623660fa97e64

14a1d3e07520df607635a3356877f5b9

6916b29893f618ba76b36bd8c297b7ac

b8783155d6be5bb3a6d75edaa7ae7f71

14e6507566a404e3158b3e36314bb3a1

6a066d2be83cf83f343d0550b0b8f206

b9d40581ae936662c37f2edc979d7e99

1548b70d8581cbde703b1fb50b48a6a8

6a23d752fbc30e603bbb050a83a580eb

ba9907be3a0752369082199ed126f8d8

163118c947aacd0978ad3e019c7d121f

6a893aab7b79b73da7a049c2707aabf1

bb46eb379caae3b05e32d3089c0dd6d0

179ca82f2e523be47df0dcebe808408d

6b0a733568d80be653fc9a568cdd88c5

bd25be845c151370ff177509d95d5add

198877a8ce99289f7281b1475c13ba9f

6c3180163e4a5371647e734c7c817de5

bf13a2f4e2deb62b7dee98a012e94d61

19d14bf80b3dc4e5b774b362f079a102

6c7479b5bb27f250fa32331b6457883a

c0471f78648643950217620f6e7e24cc

19d99758b1f33b418cb008530b61a1e7

6d32d2d7a44584c92115ac2a2c3ba3af

c0debd2cfb62fc2c56bfd4104b1ff760

1e63ec5b89edb805956f347b5b5cfaae

6e1bb443369973923c8eced16fcbd5cf

c12d465743b9c167fc819b7872cd014c

1f2888e57fdd6aee466962c25ba7d62d

6e3516775e7e009777dcdb7a314f1482

c35e6a0e1aef31ed9855499df4317acd

1f46065ac9479253e4babc42b72bc4a8

6e730cf4ebcd166d26414378cab3a6d8

c5120095bf08655407c2f0215d10ac1d

1f929fd617471c4977b522c71b4c91ed

6fcf56f6ca3210ec397e55f727353c4a

c77e931a6388b2040cc7c5a1a0f56d93

207cfc647647419adcfcc44c6059a1d1

7182ed3da406ba19bb9ffd8e4948d858

c7850060cfe574a2ef278ba46a136a5e

20f94c9cfc3cf012bf90546985f9f3c4

721b40a0c2a0257443f7dcc2c697e28a

c812fa7c628c3e19a3da5910acf6206e

22519936cd9e8c7d524b0590826c3e6e

72dbbd1dd61c6b0c2571e83f2c3d1825

c8495649615bf1b9f839d7f357d6d02f

228f9f0a0466fba21ac085626020a8e1

734b3a6e6cbd1f53fbb693140d2c3049

cadc3e4090aed708526f0d6016aba7fd

22949977ce5cd96ba674b403a9c81285

761939b0e442821985ab3281f97e6ceb

cb68b7979bbb55bbde0a8c60fe3e5184

232b0156173a9f8f5db6b65aa91e923b

76c6ae0157ea7f41f55ed7e7d241f910

cb6a416204b57470fab0b944d7b59756

23cebc6b0eb76262d796577895f418d2

7737e5e40a439899f326279b7face22c

cbc3d1c88a5d0491b7b50bb77ada93fe

24eb9eef69475e4980a555898b25f0c1

77392be5eae901ae371c37861aa88589

cc29cf2294175315acbf33054151f3cd

262c92f2437c80adf232ef147ca2d734

787782e0395b3d5e32cda6fdea2faba0

cd4b6d8bb762c2281c9b1142588ede4c

267c30e484322ad31fa9e1374d6653f0

79ebae9ab3f3b59c754ab1cc82bf7e95

ce455358bf71c88b45fcb5789100969a

26caf3361ec353593f51ebbd3fe5bbde

7a5896673b81beb5589b512c6d781a85

ce4d3a69331ff87920c903a4e4091904

26d6833b1875b138ea34d6ab430cafcd

7a9df5c46c7c65b807f78c6c0bb2c38c

ce658935ef6e223893121dce22908655

2739311a6bb1a7b0b88ff24bf603a54d

7b6e3fe75c5ae68d7d5a3ae7b00097e0

ce6ef4dc1dd54sea51eaf594a496a

27bb03f2659cd95bf9e7af899ee32728

7ba744b584e28190eb03b9ecd1bb9374

d11b9a4664ea03dfe3e8e1d737cd15f8

286b10451fe364310f4a7baeb0e94a3f

7c6c1b7e6378b4c0bcceee84e0e26fde

d22a56e31b4e1fd5b06d46fa56f59151

2a12b959c55f4a2d34f96e45e2417a71

7cb012393114dfb35d60e70166a97986

d27fac80339ad1f2ee86374884996c52

2aa8dc7a5dff7817ce0a9c7cf30847bf

7d78b5773845c5189ca09227d27a9d5a

d2ed678542a5d1db494dc47359861467

2bec13be352db14fc9665ddf128deb8c

7dd800f100a049a72983dd75f5286d70

d47494b717c82eca8278dea610e1265d

2cc14f20cf6847a2084f2c9cc0622015

7e0a6a234a64350e684544e272c7fc41

d60d8f3f12550dca4ba07ff61263b67f

2d84c734d813af49cec3c3aa4aa4e6e3

7e2e29707e7a601e8ea7f3e2f4d672a2

d60e235b769cadbc7e83090b79b73ed3

2e323c67a8781531a294684f7d2761ec

7e7002dc10c62fb674a3184f4ad6688a

d617c9a86328921a8caf924575faf2a2

2f6daca66d2f64c7b1b6f8693ea09cb7

7ee0b286003dc9e8006c22dcd70663f0

d66fc4e2f537566bb4d91cdea0ac64e5

309f16f50e9074ce797eb38eda279298

7f9309f5e4defec132b622fadbcad511

d6b2947d8ff985fa84d697cc6cfdb7ff

331113d1d54a3610f9c9bd72fc783721

811f8d76ff00c9eda27b51a0fb2b0d39

d6e506a1e0417c4507a5314529d84e34

33b5485b35b33fd8ead5a38899522cce

822bbdec4e5630c3170ee05119dcfb5c

d77209a21352486435d85e339596eeae

3452586b669e12c1c4ee9db3c1006018

8264b3bdf46c0ece4f66151a613baed5

d87f08d1e50f2a3423813bf161b40859

35c95b6b5f4a6a0bda56276846dae17b

832fe73a91993b387f9a49fafb9d4ea7

dc170d9bba14b0421c2514465055a93f

35deaa9d004714dc6ef9661b91889148

84ce2a917e3d4aefcfc7d17e4a840a99

dc564bac7258e16627b9de0ce39fae25

3608b3a24736dea4bf24a8ac5ae00e30

85063d67203b91bef9772446a1723021

dd1a5bd34f8cfa56e439c6fb275356d6

37d4ba16136986bfded2b6fc698abf02

860f5812d65dc157a59c14e57bc0eaaf

ddee86b84dcb72835b57b1d049e9e0cd

395ea8b7d0f257850a3a04a1484bac4d

8986b5b6013cfb2bd3e6c8d22c453390

de4b5043c82ab3b36b4ae73a2e96d969

398384a6cf2b7e26947d2e0acbfeeda5

8ac6ef2475ec89d3709fc124573cb380

e051141b1dcb9e7f889fea7c8b1d6ba5

39ee31f03fe1bb93d47f560f73deffa9

8af6a129902a594ddaceafba38b7c060

e0e0c46ba4f969919e2879717c60ef2a

3d4b685dcaebc5bba5f9421572a4ab91

8b423e0395ba6419fcedc0701327c97c

e2465ea5c2d5dac4ae1b8d50da1d7cce

3db8146544ee26866a8e99bacb11188c

8d38a092ae5a3511bedadb7243a84409

e2c146a2522e4f40e5036c3fe12c3560

3ecaf3ba4e93916714cc43320f6f2c58

8e4d0f679b092296a2f74cf812907d05

e30830c05ed3d2a3178a3678f3169bec

3fd815ebb7d2ab2b62cff3c777b51e30

8fc8c6e1b2a1047752f60549878fb55f

e5f62ef06b0dd656e1e47913f01f9f8a

4070a8b16f318d108be0984e628421ad

909f3fc221acbe999483c87d9ead024a

e6960ae657786979493da1786191bcf4

40fda9a3c1be41be414f3795b25647f5

90affc996a2932cb0fec4e31cd673ae9

e777e5a8d2ba97c82128f04272e7841c

415240633837ebcbd80e080ba99c03a9

90b9a4328c4f712815760f9da49bcb6a

e7ff38a94ad765eb305fc7f0837f5913

42200c8422347f63b3edb45ea5aa9c45

913d50851abf337abc3c73f2d4e7fb34

ea033ee6df904d863448ffef6386b6ae

42a417e54639c69f033f72bbafe6e09a

929b293090bcc7900c1e8f9ba519e219

ea45419d992c15002c93067840568121

4349378822e2316f18784c10c7ca08a1

934d0cda4cba428e9b75ff16d5f4b0b1

ea5f6ab5666193f805d13a49009f0699

45991757d4ca2dab9e81f2fcbbc1ae23

93c5faf90bc889963f10c608cbde5a14

ee3bad1f5508e2129e0b423b009383e3

45be5c0e7dfe37f88f1fa6c2fbb462c5

947ebc3f481a7b9ee3cf3a34d9830159

ee6b1a79cb6641aa44c762ee90786fe0

467e60b9a0d1153057e0cfd0e721e198

95a04866e6afb8e9b0426f5890681f9a

f07506c30237c96e49eecafa0e5a4ed4

48190fd615dcea5c6679b8e30a8bfec0

9885d56d64ac2391a43f02abb2202181

f111bd9b8e55f60f909649820e116430

486b1afce3484a784a1662513ca1272a

9a8323bc7187441a0d85b9a2e8f580e3

f35a8a8f36c13769b9e9fff05fa4f720

48bf11dd6c22e241b745d3bb1d562ca1

9c4034691f6508e2361b6fca890671f9

f4ee6bee04b2ed18024e3a64a0d58385

48fc05c42549d0b3ec9e73bbb5be40dc

9d1424c87d89095e3cd6785adb54d2ec

f59a1409ce773658e72ad73424841890

4a0f22286134a58d9d20f911a608f636

9dabf30a780794200cd068b145730317

f783277840bbd2023879a87d0788f36e

4b2e59a821589ab091a63770f4a658ed

9e91e55c89f9c17c0a2acaf4376cd72b

f78915cbf89d8749a0a4ab18a2b182bd

4d4c17d8b52cd89da0b17cc9653b2010

9f1d60d3cddea7f7558fad0217759094

f8ccabcbe08bbd2c8420f4d1cffcefd8

4d947e4163e8aeafbfc626eb033bc665

a0fdc4543687a1b341b365d6dd16551c

f9844524fb0009e5b784c21c7bad4220

4e1f656001af3677856f664e96282a6f

a2ee1cc9e80390ca248863004adbde60

f9aad310a5d5c80bbc61d10cc797e4f0

4e8d5c44bfdeffd0168f8a05f6a04e8b

a2f3bce86beef23aede69396dcf7e184

fa00cc96c5bea2979a59d0da0d22c83d

4f5c7367f2ebae0097b6f2f1bebd19b6

a55cb8be2887e99b4f662fc1ae08d265

fa914061f5a40b324454d3fb9fc85ca5

508d42f26f8bd562728e6fca866e05eb

a7251aad1e81c6194b34dabf6edd6b4a

faa5806826ff1ba749b70de0e14835c3

50d13758b811c794bc13769ee3b42e85

a9541530619a3ac2615b92603b705fe6

fbd9ba2b8b2d677d41c30a01c02cfd01

52494f624378ef6ee298f0fc73082d0e

aba1be25da0691761f593725e9c067e5

fd3b7234419fafc9bdd533f48896ed73

52fc9ec7a5c177fe27fb00b6c2c5ff09

ac2a1f2ae6b547619bef93dfadb48937

fd4cee1c7b8167f25a8b4b864ede3c5d

548d48b658305ffb77cc814ea080b542

ac7f0fcb6040eb47ea9855d418c32510

fdb6dae1e8c182089fdb86996436330c

561bc6902367d9e43e27c5543e7a5818

acac842a46f3501fe407b1db1b247a0b

fe2f8e46ae540d7299c61ba083d52399

5800a88d39fdf63e5a43bfcc6700d907

adab615712eac2719691d01b69254f29

fe7ecd399eec7036a63f0b7eb5ebcfb1

5b281df4aaa915f660e075dc944a02c2

add02792cfff7b19b8e526a247acb0ba

ff43f91f2465504e5e67d0b37d92ef18

5e5d9971c90287a6aa905e54b2a21b1c

ae2f3e2412925a767e372c9c0ccf7ced

Die folgenden Zertifikatsdetails werden aus der Zertifikatssignierung für das POORTRY-Beispiel extrahiert. Beachten Sie jedoch, dass es sich hierbei um ein legitimes Microsoft-Zertifikat zur Bescheinigungssignierung handelt. Beachten Sie, dass einige Details der Kürze halber entfernt wurden.

Zertifikat:

Daten:

Version: 3 (0x2)

Seriennummer:

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Signaturalgorithmus: sha256WithRSAEncryption

Emittent: C = USA, ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Microsoft Windows Third Party Component CA 2014

Gültigkeit

Nicht vor: 7. Juni 18:08:06 2022 GMT

Nicht nach: 1. Juni 18:08:06 2023 GMT

Betreff: C = US, ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Microsoft Windows Hardware Compatibility Publisher

Informationen zum öffentlichen Schlüssel des Betreffs:

Algorithmus für öffentliche Schlüssel: rsaEncryption

RSA Public-Key: (2048 Bit)

Exponent: 65537 (0x10001)

X509v3-Erweiterungen:

Erweiterte Schlüsselverwendung für X509v3:

1.3.6.1.4.1.311.10.3.5, 1.3.6.1.4.1.311.10.3.5.1, Code-Signierung

X509v3-Betreffschlüssel-ID:

41:8F:FB:78:B4:1F:1F:7F:19:8E:36:12:08:D0:22:76:6B:58:FA:29

Alternativer Name des X509v3-Betreffs:

DirName:/OU=Microsoft Operations Puerto Rico/serialNumber=232147+470769

X509v3-Autoritätsschlüssel-ID:

Schlüssel-ID:C8:3A:9C:A7:4A:C3:23:F2:25:7E:B9:DA:AB:29:53:0E:54:00:C3:A1

Link zum RSS-Feed

Bestimmen Sie die Wirksamkeit Ihrer Cyber-Abwehr

Von ESG validiert

Nehmen Sie an der Beurteilung teil

Mandiant-Experten beantworten gerne Ihre Fragen.