Blog

Jul 14, 2023

Juro solemnemente que mi conductor no trama nada bueno: busca malware firmado con certificación

Durante una investigación reciente de Incident Response, Mandiant descubrió un controlador malicioso utilizado para finalizar procesos seleccionados en sistemas Windows. En este caso, el conductor fue utilizado en un intento de

Durante una investigación reciente de Incident Response, Mandiant descubrió un controlador malicioso utilizado para finalizar procesos seleccionados en sistemas Windows. En este caso, el controlador se utilizó en un intento de finalizar el agente de respuesta y detección de endpoints (EDR) en el endpoint. Mandiant rastrea el controlador malicioso y su cargador como POORTRY y STONESTOP respectivamente. Poco después del descubrimiento inicial, Mandiant observó una muestra de controlador POORTRY firmada con una firma Authenticode de compatibilidad de hardware de Microsoft Windows. Un análisis cuidadoso de los metadatos Authenticode del controlador condujo a una investigación más amplia sobre controladores maliciosos firmados a través del Programa de compatibilidad de hardware de Windows. La investigación encontró un problema más amplio:

Esta investigación se publica junto con una publicación de blog de nuestros colegas de SentinelOne.

Las relaciones se basan en la confianza. Lo mismo ocurre con la relación que tenemos con el software del que dependemos cuando utilizamos nuestras computadoras todos los días; ¿Confío en la ejecución de este programa y por qué? El software puede resultar muy opaco para los usuarios finales; cuando dice ser de la Compañía X, ¿qué mecanismos existen para verificar la confiabilidad del software?

[Música de salida de John Cena en cola.]

La firma de código ha entrado al ring.

La firma de código es un medio para garantizar la integridad y autenticidad de un archivo determinado. Los proveedores de software obtienen los certificados utilizados para la firma de códigos de autoridades de certificación (CA) confiables, que cumplen con los estándares establecidos por CA/Browser Forum y CA Security Council. Estas pautas detallan los requisitos, que incluyen verificar la existencia legal y la identidad de la empresa, y que el solicitante del certificado esté autorizado a actuar en nombre del proveedor de software que dice representar.

Luego, este certificado se utiliza para firmar el software y proporcionar un nivel de confianza entre el software y el sistema operativo. Las políticas de aplicación de la firma de código difieren según el sistema operativo y el tipo de archivo, desde permitir solo la ejecución del código firmado hasta minimizar las advertencias de seguridad para la ejecución del código firmado o servir simplemente como una firma digital que denota la autenticidad de una aplicación.

La implementación de firma de código de Microsoft para archivos binarios de Windows se conoce como Authenticode. Authenticode tiene varias funciones específicas para controladores y paquetes de controladores, y ayuda a los proveedores de hardware a firmar correctamente sus controladores a través del Programa de compatibilidad de hardware de Windows.

“El Programa de compatibilidad de hardware de Windows está diseñado para ayudar a su empresa a ofrecer sistemas, software y productos de hardware que sean compatibles con Windows y se ejecuten de manera confiable en Windows 10, Windows 11 y Windows Server 2022. El programa también brinda orientación para desarrollar, probar y distribuir controladores. . Con el panel del Centro de desarrollo de hardware de Windows, puede administrar envíos, realizar un seguimiento del rendimiento de su dispositivo o aplicación, revisar la telemetría y mucho más”.

Hay varias fases para avanzar en el proceso del Programa de compatibilidad de hardware de Windows.

Para su funcionamiento en Windows 10 y versiones posteriores, los controladores se pueden enviar a Microsoft para sufirma de atestación.

En este proceso de firma de certificación, se utilizan firmas digitales para verificar la integridad de los paquetes de controladores enviados y para verificar la identidad del editor de software que proporcionó los paquetes de controladores. Este proceso requiere que la organización que lo envía firme su paquete de controladores con un certificado de Validación Extendida (EV), que tiene requisitos de identificación mejorados con respecto a otros certificados de firma de código y debe utilizar algoritmos de cifrado más potentes. Estos certificados EV los ofrece un círculo más pequeño de autoridades certificadoras que han aceptado requisitos de auditoría mejorados.

Como paso adicional, los proveedores pueden enviar su controlador para la prueba del kit de laboratorio de hardware (HLK) para obtener la certificación de Windows. Cuando un controlador recibe la firma de una certificación, no está certificado por Windows. Una firma de certificación de Microsoft indica que Windows puede confiar en el controlador, pero debido a que el controlador no ha sido probado en HLK Studio, no hay garantías en cuanto a compatibilidad, funcionalidad, etc.

En un nivel alto, hay 9 pasos para enviar una certificación de controlador firmada dentro del proceso del programa de compatibilidad.

El resultado de este proceso es un controlador firmado por una certificación.

Mandiant ha observado continuamente que los actores de amenazas utilizan certificados de firma de código comprometidos, robados y comprados ilícitamente para firmar malware, otorgando legitimidad y subvirtiendo los controles de seguridad, como las políticas de listas de aplicaciones permitidas. Los controladores firmados por la certificación toman la confianza que les otorga la CA y la transfieren a un archivo cuya firma Authenticode proviene del propio Microsoft. Evaluamos con alta confianza que los actores de amenazas han subvertido este proceso utilizando certificados de firma de código EV obtenidos ilícitamente para enviar paquetes de controladores a través del proceso de firma de atestación y, de hecho, Microsoft firma su malware directamente.

Mandiant ha observado que UNC3944 utiliza malware que ha sido firmado mediante el proceso de firma de atestación. UNC3944 es un grupo de amenazas con motivación financiera que ha estado activo desde al menos mayo de 2022 y comúnmente obtiene acceso inicial a la red utilizando credenciales robadas obtenidas de operaciones de phishing por SMS. En algunos casos, los objetivos posteriores al compromiso del grupo se han centrado en acceder a credenciales o sistemas utilizados para permitir ataques de intercambio de SIM, probablemente en apoyo de operaciones delictivas secundarias que ocurren fuera de los entornos de las víctimas.

Se ha observado que UNC3944 implementó STONESTOP y POORTRY ya en agosto de 2022.

STONESTOP es una utilidad de usuario de Windows que intenta finalizar procesos creando y cargando un controlador malicioso. Mandiant rastrea este controlador malicioso como POORTRY. POORTRY es un controlador de Windows que implementa la terminación del proceso y requiere una utilidad de usuario para iniciar la funcionalidad. Al ingresar el controlador, registra el dispositivo \device\KApcHelper1 para la interacción de utilidades del espacio de usuario como STONESTOP.

Mandiant ha observado conductores POORTRY firmados que se remontan a junio de 2022 con una combinación de certificados, incluidos certificados robados que han circulado ampliamente. El uso de POORTRY aparece en diferentes grupos de amenazas y es coherente con el malware disponible para su compra o compartido libremente entre diferentes grupos.

Tiempo de compilación

hora de firmar

MD5

Nombre común del sujeto del certificado

2022-06-02 10:09:08

20220811 13:27:00

10f3679384a03cb487bda9621ceb5f90

Tecnología Co., Ltd. de Zhuhai Liancheng.

2022-06-02 10:09:08

04a88f5974caa621cee18f34300fc08a

Tecnología Co., Ltd. de Zhuhai Liancheng.

2022-06-02 10:09:08

20220915 15:49:00

6fcf56f6ca3210ec397e55f727353c4a

Editor de compatibilidad de hardware de Microsoft Windows

2022-06-06 15:14:46

0f16a43f7989034641fd2de3eb268bf1

Corporación NVIDIA

2022-08-20 15:19:01

20220821 05:43:00

ee6b1a79cb6641aa44c762ee90786fe0

Editor de compatibilidad de hardware de Microsoft Windows

2022-10-02 19:48:02

20221019 17:15:00

909f3fc221acbe999483c87d9ead024a

Editor de compatibilidad de hardware de Microsoft Windows

A diferencia de los ejemplos anteriores, muchos de los cuales estaban firmados incorrectamente, este ejemplo de POORTRY está firmado y verificado legítimamente con un certificado de Microsoft Windows Hardware Compatibility Publisher. Este es un certificado de Microsoft que se utiliza en todo el programa de atestación y, por lo tanto, también se usa ampliamente en archivos binarios legítimos.

La clave pública utilizada para la firma de la certificación (Apéndice C: Detalles del certificado POORTRY) contiene dos identificadores de objeto (OID) de interés dentro del valor de uso de la clave:

Uso de clave extendida X509v3:

La sección 4.2.1.12 de RFC 5280 define el uso de clave extendida (EKU). Los valores de EKU en esta firma ayudan a identificar qué método se utilizó para firmar este archivo y para qué fines se puede utilizar este certificado de firma. Los valores definidos muestran que este certificado se usa en el proceso de firma del controlador de compatibilidad de hardware de Windows y se usa específicamente para controladores firmados con certificación. La Tabla 1 muestra las descripciones de OID.

OID EKU

Nombre simbólico

Descripción

1.3.6.1.4.1.311.10.3.5

szOID_WHQL_CRYPTO

Verificación del controlador de hardware de Windows

1.3.6.1.4.1.311.10.3.5.1

szOID_ATTEST_WHQL_CRYPTO

Verificación certificada del controlador de hardware de Windows

La conexión entre la muestra POORTRY, el certificado de atestación y las numerosas muestras legítimas firmadas con este certificado llevó a Mandiant a evaluar con alta confianza que este malware fue verificado mediante el proceso de compatibilidad de hardware de Windows.

RFC 2315 para la especificación PKCS #7 v1.5 define un tipo de contenido SignerInfo, que para los PE firmados con Authenticode contiene varias estructuras interesantes que se pueden usar para identificar muestras relacionadas con el controlador POORTRY identificado inicialmente (6fcf56f6ca3210ec397e55f727353c4a).

El campo de interés, programName, está contenido en el atributo SpcSpOpusInfo, que es específico de Authenticode. Mandiant evalúa con alta confianza que el campo Nombre del programa (en adelante, Nombre del programa) para los controladores firmados de certificación contiene información identificable sobre el proveedor de hardware individual que envió el controlador para la firma de certificación.

Dalian Zongmeng Network Technology Co., Ltd.

Este campo se convierte en un artefacto importante para identificar muestras asociadas adicionales y, al girar en el Nombre del programa, Mandiant identificó once nuevos archivos sospechosos, incluida una muestra POORTRY adicional.

MD5

Familia

Nombre del archivo

Fecha de firma

6fcf56f6ca3210ec397e55f727353c4a

POBREZA

4.sys

2022/09/15 11:49

ee6b1a79cb6641aa44c762ee90786fe0

POBREZA

NodeDriver.sys

2022/08/21 01:43

1f2888e57fdd6aee466962c25ba7d62d

Air_SYSTEM10.sys

2022/10/01 11:43

22949977ce5cd96ba674b403a9c81285

PcieCubed.sys

2022/08/20 09:37

4e1f656001af3677856f664e96282a6f

Sense5Ext.sys

2022/08/09 07:20

7f9309f5e4defec132b622fadbcad511

2022/08/24 07:33

acac842a46f3501fe407b1db1b247a0b

2022/08/23 04:40

b164daf106566f444dfb280d743bc2f7

2022/08/17 10:48

bd25be845c151370ff177509d95d5add

2.sys

2022/09/19 24:33

dc564bac7258e16627b9de0ce39fae25

7.sys

2022/08/19 08:03

f9844524fb0009e5b784c21c7bad4220

Sense5Ext.sys

2022/08/22 14:48

El campo Nombre del programa para los controladores firmados de certificación parece estar poblado por el Nombre de la organización del sujeto (O) X.509 del certificado de firma de código EV utilizado para firmar el envío CAB inicial al portal WHCP. Esto se ve corroborado por la gran cantidad de detecciones maliciosas de muestras asociadas con este nombre de organización y otros valores de nombre de programa correspondientes en VirusTotal y dentro de otros conjuntos de datos de Mandiant. Al momento de escribir este artículo, no hemos podido confirmar con Microsoft que este sea el mecanismo exacto por el cual se completa el campo nombre del programa para los controladores firmados de certificación.

MD5

Familia

Serie del certificado

05a56a88f34718cabd078dfd6b180ed0

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

2406150783d3ec5de13c2654db1a13d5

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

29506adae5c1e97de49e3a0d3cd974d4

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

48c1288cd35504de6f4bd97ec02decb1

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

578e70a8a7c1972bbc35c3e14e53cbee

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6216fba5cf44aa99a73ca919301142e9

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

69fa8946c326d4b66a371608d8ffbe5e

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6e4e37641e24edc89cfa3e999962ea34

Proxy inverso rápido

0c:25:f1:f2:a8:d4:a2:93:21:e8:28:6e:ed:50:e3:e2

8a930742d1da0fcfe5492d4eb817727c

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

8fbad6e5aa15857f761e6a7a75967e85

Lanzador SOGU

03:25:0b:78:25:67:56:fc:10:db:c6:7a:22:52:7b:44

976bac6cfb21288b4542d5afe7ce7be7

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

aaeedaa5880e38dc63a5724cf18baf13

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

ab5d85079e299ac49fcc9f12516243de

Lanzador SOGU

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

c43de22826a424b2d24cf1b4b694ce07

Lanzador SOGU

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

d312a6aeffec3cff78e9fad141d3aaba

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

d36084aad079ca8d91c2985eca80327b

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

e086d7d5a5657800a0d7e9c144fac16d

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

Todos los certificados de firma de códigos EV correspondientes observados fueron emitidos por Digicert. Con el tiempo, el certificado de serie 01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52 fue revocado; sin embargo, varios otros parecen no haber sido revocados (en negrita). Tabla 4). Estos certificados de validación extendida correspondientes se utilizaron para firmar lanzadores de malware SOGU utilizados por Temp.Hex, así como distribuciones firmadas de la herramienta Fast Reverse Proxy de código abierto, que ha sido utilizada por presuntos actores de amenazas patrocinados por el estado iraní en intrusiones observadas por Mandiant.

Utilizando los OID y los datos del certificado, se desarrollaron reglas YARA para recopilar controladores firmados con atestación adicional.

El examen de estos controladores firmados con certificación adicional condujo a 57 muestras sospechosas que compartían nombres de programas que se observaron en archivos binarios maliciosos (Apéndice B: Indicadores de interés). Estas muestras se distribuyeron en nueve nombres de programas diferentes.

Qi Li Jun

Suerte más grande Technology Co., Ltd

Servicio de red XinSing Co., Ltd.

Tecnología Co., Ltd de Hangzhou Shunwang

Superman Fuzhou

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

Xiamen Hengxin Excelente red Technology Co., Ltd.

Dalian Zongmeng Network Technology Co., Ltd.

Las muestras sospechosas identificadas a través de esta investigación han dado lugar a múltiples artefactos en el entorno de desarrollo, específicamente rutas de bases de datos de programas (PDB), lo que implica múltiples entornos de desarrollo diferentes y potencialmente múltiples autores de malware diferentes.

Mandiant ha observado anteriormente escenarios en los que se sospecha que los grupos aprovechan un servicio criminal común para la firma de códigos. Este no es un fenómeno nuevo y ha sido documentado por el proyecto Certified Malware de la Universidad de Maryland en 2017. Esto es lo que Mandiant cree que está ocurriendo con estos controladores firmados con certificaciones sospechosas y muestras firmadas de vehículos eléctricos relacionados.

El uso de certificados de firma de código robados u obtenidos de forma fraudulenta por parte de actores de amenazas ha sido una táctica común y proporcionar estos certificados o servicios de firma ha demostrado ser un nicho lucrativo en la economía sumergida. Mandiant ha identificado numerosos actores de amenazas y servicios que anuncian en una variedad de idiomas, incluidos inglés, ruso y chino, que afirman proporcionar certificados de firma de código o firmar malware en nombre de actores de amenazas. Por ejemplo, mientras analizaba los mensajes de chat filtrados por el usuario de Twitter "@ContiLeaks", Mandiant identificó varios casos en los que los actores de amenazas involucrados en las operaciones de Trickbot compraron certificados de firma de código de múltiples actores de amenazas, con precios observados que oscilaban entre aproximadamente $ 1000 y $ 3000 USD por un solo certificado.

Si bien la mayoría de estos anuncios solo mencionan los certificados de firma de códigos de vehículos eléctricos, hemos identificado una pequeña cantidad de discusiones centradas en la firma de controladores a través de WHQL. Si bien la mayoría de estas discusiones se lamentaron de los desafíos presentados por las restricciones de WHQL, observamos al menos un actor que mencionó experiencia en la firma de controladores con WHQL, y también hemos identificado múltiples sitios web en Internet abierto que anuncian servicios de firma de controladores WHQL para empresas. Si bien no podemos vincular las cargas útiles firmadas observadas en esta actividad con ninguno de los servicios identificados, es posible que los actores estén reclutando servicios de foros clandestinos o abusando de servicios comerciales para obtener malware de controladores firmados.

Surge un patrón de controladores firmados con atestación maliciosa sospechosa que contienen el nombre del programa correspondiente a certificados EV que también han firmado otras muestras sospechosas de malicia. Los Certificados parecen emitirse principalmente a través de Digicert y Globalsign a clientes chinos, lo que indica un posible abuso de un revendedor de certificados o servicio de firma del mercado chino.

Dados los diferentes nombres de empresas identificados y los diferentes entornos de desarrollo, Mandiant sospecha que hay un proveedor de servicios que firma estas muestras de malware a través del proceso de certificación en nombre de los actores. Lamentablemente, en este momento esta evaluación se formula con un nivel de confianza bajo.

La firma de atestación es un programa legítimo de Microsoft y los controladores resultantes están firmados con certificados legítimos de Microsoft. Esto dificulta la detección del tiempo de ejecución, ya que Microsoft y la mayoría de las herramientas EDR permitirán que se carguen los archivos binarios firmados por Microsoft. En cambio, las organizaciones deben depender de detecciones de comportamiento para superar la confianza implícita otorgada a los archivos binarios firmados por Microsoft y alertar sobre actividades sospechosas o similares a rootkits. Sin embargo, para las búsquedas proactivas, existen numerosas formas de buscar estos archivos.

Los OLE permiten implementar la detección para identificar cualquier binario firmado mediante el proceso de atestación. Esta regla coincide con la presencia de los OLE y el asunto del certificado del Editor de compatibilidad de hardware de Microsoft Windows.

Los nombres de las empresas identificadas que estaban en el nombre del programa de certificación se pueden utilizar para localizar muestras potencialmente sospechosas. Sin embargo, tenga en cuenta que, debido a la naturaleza de estos certificados, no es cierto que todas las muestras con el certificado sean maliciosas, sino que simplemente se ha abusado de ellas en el pasado y justifican una mayor investigación.

El conjunto de datos de VirusTotal tiene datos adicionales disponibles para acceder a través de reglas de LiveHunt. Esto incluye varias etiquetas y otros metadatos de la ejecución del sandbox relacionado. Esta información se puede utilizar para identificar archivos binarios firmados de atestación maliciosa sospechados combinando la regla M_Hunting_Signed_Driver_Attestation_1 con los metadatos de recuento malicioso.

Como se documenta en el Dossier Definitivo de Detalles de Depuración Diabólica, las rutas de PDB se pueden usar para identificar cadenas que están presentes dentro del malware. Sin embargo, es importante recordar que esto es una consecuencia del malware y de los desarrolladores de malware, y no del certificado o la firma. proceso.

Consulte el Apéndice A: YARA para obtener la lista completa de detecciones.

El proceso de firma de la certificación descarga a las autoridades certificadoras de la responsabilidad de verificar la identidad del proveedor de hardware o software solicitante. En teoría, este es un proceso válido ya que las CA deben seguir procedimientos acordados para verificar la identidad de la entidad solicitante y la autoridad del individuo que realiza la solicitud para representar al proveedor de software. Sin embargo, se abusa de este proceso para obtener malware firmado por Microsoft.

Esto no es algo nuevo; Tanto GData como BitDefender publicaron informes sobre controladores maliciosos firmados por Microsoft en 2021. "Microsoft firmó un rootkit Netfilter malicioso" y "Los rootkits firmados digitalmente están de vuelta: una mirada a FiveSys y Companions" analizaron los controladores maliciosos firmados mediante el mismo proceso de certificación que se analiza en este entrada en el blog.

Si bien esta publicación de blog se ha centrado en POORTRY y el proceso de firma de atestación, Mandiant ha observado que se firma otro malware mediante atestación. TEMPLESHOT es una familia de malware que consta de un cuentagotas, una puerta trasera, un controlador de filtro y un controlador de protección. El controlador TEMPLESHOT con MD5 48bf11dd6c22e241b745d3bb1d562ca1 se ha observado en la naturaleza y está firmado mediante certificación.

El uso de la biblioteca Python de Signify hizo que el análisis automatizado de los datos de Authenticode fuera extremadamente eficiente. Este contenido no habría sido posible sin la ayuda de analistas de las organizaciones Mandiant Intelligence y FLARE.

importar "activado"

regla M_Hunting_Signed_Driver_Attestation_1

{

meta:

autor = "mandiant"

fecha_creada = "2022-10-20"

fecha_actualizada = "2022-04-24"

revision = "2" //Descripciones OID refinadas y nombres de variables

descripción = "Buscar controlador firmado mediante la firma de certificación de Microsoft únicamente (no se puede firmar el certificado EV fuera de Microsoft Windows Hardware Compatibility Publisher)" //https://learn.microsoft.com/en-us/windows-hardware/drivers/dashboard/code -certificación-de-firma

instrumentos de cuerda:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, verificación certificada del controlador de hardware de Windows: "szOID_ATTEST_WHQL_CRYPTO"

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

condición:

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" y

$whql_attest_oid y

$spc_sp_opus_info_oid y

$spc_statement_type

}

importar "activado"

regla M_Win_Hunting_CertEngine_Attestation_ProgramName_1

{

meta:

autor = "mandiant"

fecha_creada = "2022-10-20"

fecha_actualizada = "2022-04-24"

revision = "2" // Descripciones de OID refinadas y nombres de variables; Bytes Unicode UTF-16 corregidos para variables Unicode programName

descripción = "Buscar un controlador firmado mediante la firma de certificación de Microsoft únicamente con uno de los nombres de empresas de interés identificados."

instrumentos de cuerda:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, verificación certificada del controlador de hardware de Windows: "szOID_ATTEST_WHQL_CRYPTO"

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

$unicode1 = {59278FDE 7EB568A6 7F517EDC 79D16280 67099650 516C53F8}

$unicode2 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}

$unicode3 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64}

$unicode4 = {58 00 69 00 6e 00 53 00 69 00 6e 00 67 00 20 00 4e 00 65 00 74 00 77 00 6f 00 72 00 6b 00 20 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64}

$unicode5 = {48 00 61 00 6e 00 67 00 7a 00 68 00 6f 00 75 00 20 00 53 00 68 00 75 00 6e 00 77 00 61 00 6e 00 67 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 4c 00 74 00 64}

$unicode6 = {54 00 41 00 20 00 54 00 72 00 69 00 75 00 6d 00 70 00 68 00 2d 00 41 00 64 00 6c 00 65 00 72 00 20 00 47 00 6d 00 62 00 48}

$unicode7 = {798f 5dde 8d85 4eba}

$unicode8 = {5317 4eac 5f18 9053 957f 5174 56fd 9645 8d38 6613 6709 9650 516c 53f8}

$unicode9 = {798f 5efa 5965 521b 4e92 5a31 79d1 6280 6709 9650 516c 53f8}

$unicode10 = {53a6 95e8 6052 4fe1 5353 8d8a 7f51 7edc 79d1 6280 6709 9650 516c 53f8}

condición:

$whql_attest_oid y

$spc_sp_opus_info_oid y

$spc_statement_type y

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" y

(1 de ($unicode*))

}

importar "vt"

importar "activado"

regla M_CertEngine_Malicious_Attestation_Signed_Driver

{

meta:

autor = "mandiant"

fecha_creada = "2022-10-20"

fecha_actualizada = "2022-04-24"

revision = "2" //Descripciones OID refinadas y nombres de variables

descripción = "Buscar controlador firmado únicamente mediante la firma de certificación de Microsoft y más de 3 visitas maliciosas en VirusTotal."

instrumentos de cuerda:

$whql_attest_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, verificación certificada del controlador de hardware de Windows: "szOID_ATTEST_WHQL_CRYPTO"

$spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

$spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

condición:

para cualquier etiqueta en vt.metadata.tags: (etiqueta == "firmado") y

pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" y

vt.metadata.analysis_stats.malicious > 3 y

$whql_attest_oid y

$spc_sp_opus_info_oid y

$spc_statement_type

}

regla M_Hunting_Win_ConventionEngine_PDB_Attestation_Multiple_1

{

meta:

autor = "mandiant"

fecha_creada = "2022-10-20"

descripción = "Buscando cadenas de ruta de PDB que se han observado en muestras maliciosas que fueron certificadas firmadas"

instrumentos de cuerda:

$ancla = "RSDS"

$pdb1 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}gamehacks.{0,250}boot_driver.{0,250}\.pdb\x00/ nocase

$pdb2 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}MyDriver1.{0,250}wfp_vpn.{0,250}\.pdb\x00/ nocase

$pdb3 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}FilDriverx64_win10.{0,250}\.pdb\x00/ nocase

$pdb4 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RedDriver_win10.{0,250}\.pdb\x00/ nocase

$pdb5 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}código de venta.{0,250}MyDriver.{0,250}\.pdb\x00/ nocase

$pdb6 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}Usuarios\\ljl11{0,250}\.pdb\x00/ nocase

$pdb7 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RkDriver64.{0,250}MyDriver1.{0,250}\.pdb\x00/ nocase

$pdb8 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}\\ApcHelper.{0,250}TSComputerManager.{0,250}\.pdb\x00/ nocase

condición:

(uint16(0) == 0x5A4D) y uint32(uint32(0x3C)) == 0x00004550 y tamaño de archivo < 20 MB y $anchor y (1 de ($pdb*))

}

Esta tabla está ordenada por Firma Fecha. La fecha de firma es un atributo autenticado que contiene la marca de tiempo de la firma. Ordenar por esta fecha permite a los lectores ver cómo se usa y cambia el nombre del programa a lo largo del tiempo.

Una muestra (688c138fffbb4e7297289433c79d62f5) no tiene una fecha de firma, y ​​esto probablemente se deba a una manipulación binaria, incluido el uso de VMProtect después de la firma y otras modificaciones.

MD5

Nombre del programa

Fecha de firma

688c138fffbb4e7297289433c79d62f5

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

N / A

0b4a0fe7db8400ef65ce7618177351cf

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/09 11:35

6e3516775e7e009777dcdb7a314f1482

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/19 07:39

ea5f6ab5666193f805d13a49009f0699

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/20 06:43

63960dbc7d63767edb6e1e2dc6f0707b

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/28 13:05

ddee86b84dcb72835b57b1d049e9e0cd

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/29 09:25

19d99758b1f33b418cb008530b61a1e7

Fujian Aochuang Interactive Entertainment Technology Co., Ltd.

2021/07/29 10:02

f9aad310a5d5c80bbc61d10cc797e4f0

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2021/11/06 17:38

ff43f91f2465504e5e67d0b37d92ef18

Xiamen Hengxin Excelente red Technology Co., Ltd.

2021/12/30 06:12

45be5c0e7dfe37f88f1fa6c2fbb462c5

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/01/13 24:00

26d6833b1875b138ea34d6ab430cafcd

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/07 03:47

561bc6902367d9e43e27c5543e7a5818

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/09 11:35

929b293090bcc7900c1e8f9ba519e219

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/13 12:25

b500ee8d8cb045936d2996a1747bcded

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 24:25

42200c8422347f63b3edb45ea5aa9c45

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 12:25

48fc05c42549d0b3ec9e73bbb5be40dc

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 12:25

bf13a2f4e2deb62b7dee98a012e94d61

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 12:25

d66fc4e2f537566bb4d91cdea0ac64e5

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 12:25

de4b5043c82ab3b36b4ae73a2e96d969

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/14 12:25

cc29cf2294175315acbf33054151f3cd

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/15 06:07

6e730cf4ebcd166d26414378cab3a6d8

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/18 06:58

8e4d0f679b092296a2f74cf812907d05

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/18 06:58

f8ccabcbe08bbd2c8420f4d1cffcefd8

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/18 06:58

9f1d3b0fb49e063f4804aa60b7b708ac

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/18 08:23

2bbfb9cb4550109da5ae336d3d3dd984

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/02/23 03:55

42a417e54639c69f033f72bbafe6e09a

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/02/25 09:18

7ee0c884e7d282958c5b3a9e47f23e13

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/02/26 24:58

66c145233576766013688088b03103e3

Xiamen Hengxin Excelente red Technology Co., Ltd.

2022/03/08 07:16

1f929fd617471c4977b522c71b4c91ed

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/03/26 24:09

4a0f22286134a58d9d20f911a608f636

Superman Fuzhou

2022/03/28 09:34

947ebc3f481a7b9ee3cf3a34d9830159

Superman Fuzhou

2022/03/28 09:40

33b5485b35b33fd8ead5a38899522cce

Superman Fuzhou

2022/03/28 10:20

721b40a0c2a0257443f7dcc2c697e28a

Superman Fuzhou

2022/04/09 17:06

b44dfd8c5e7b0c8652d7a647dfe252e4

Superman Fuzhou

2022/05/03 09:25

1a57c1d80018bfef1e243f9eba2955f2

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/05/09 01:18

ac2a1f2ae6b547619bef93dfadb48937

Superman Fuzhou

2022/05/19 07:09

8ac6ef2475ec89d3709fc124573cb380

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/05/31 11:06

b34403502499741762912c7bfc9ff21f

Tecnología Co., Ltd de Hangzhou Shunwang

2022/06/13 08:25

734b3a6e6cbd1f53fbb693140d2c3049

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/06/13 08:45

c0471f78648643950217620f6e7e24cc

Beijing Hongdao Changxing Comercio Internacional Co., Ltd.

2022/06/13 08:45

228f9f0a0466fba21ac085626020a8e1

Qi Li Jun

2022/08/02 16:10

65a3f812ea031f4d53ba09f33c058ab6

Qi Li Jun

2022/08/02 16:10

7d78b5773845c5189ca09227d27a9d5a

Qi Li Jun

2022/08/03 01:56

e7ff38a94ad765eb305fc7f0837f5913

Qi Li Jun

2022/08/03 01:58

4e1f656001af3677856f664e96282a6f

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/09 07:20

b164daf106566f444dfb280d743bc2f7

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/17 10:48

dc564bac7258e16627b9de0ce39fae25

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/19 08:03

22949977ce5cd96ba674b403a9c81285

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/20 09:37

ee6b1a79cb6641aa44c762ee90786fe0

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/21 01:43

f9844524fb0009e5b784c21c7bad4220

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/22 14:48

acac842a46f3501fe407b1db1b247a0b

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/23 04:40

7f9309f5e4defec132b622fadbcad511

Dalian Zongmeng Network Technology Co., Ltd.

2022/08/24 07:33

7ba744b584e28190eb03b9ecd1bb9374

Servicio de red XinSing Co., Ltd.

2022/09/07 02:24

6fcf56f6ca3210ec397e55f727353c4a

Dalian Zongmeng Network Technology Co., Ltd.

2022/09/15 11:49

bd25be845c151370ff177509d95d5add

Dalian Zongmeng Network Technology Co., Ltd.

2022/09/19 24:33

1f2888e57fdd6aee466962c25ba7d62d

Dalian Zongmeng Network Technology Co., Ltd.

2022/10/01 11:43

909f3fc221acbe999483c87d9ead024a

Suerte más grande Technology Co., Ltd

2022/10/19 13:15

La siguiente tabla incluye muestras de POORTRY firmadas.

Tiempo de compilación

Estado de firma

Hora de firmar

ruta del PDB

MD5

Nombre del archivo

De serie

Nombre común

20220602 10:09:08

Revocado

20220811 13:27:00

D:\KApcHelper\x64\Release\KApcHelper.pdb

10f3679384a03cb487bda9621ceb5f90

prokiller64.sys

62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b

Tecnología Co., Ltd. de Zhuhai Liancheng.

20220602 10:09:08

Revocado

D:\KApcHelper\x64\Release\KApcHelper.pdb

04a88f5974caa621cee18f34300fc08a

gftkyj64.sys

62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b

Tecnología Co., Ltd. de Zhuhai Liancheng.

20220602 10:09:08

20220915 15:49:00

6fcf56f6ca3210ec397e55f727353c4a

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Editor de compatibilidad de hardware de Microsoft Windows

20220606 15:14:46

Venció

D:\KApcHelper\x64\Release\KApcHelper.pdb

0f16a43f7989034641fd2de3eb268bf1

KApcHelper_x64.sys

43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5

Corporación NVIDIA

20220820 15:19:01

20220821 05:43:00

ee6b1a79cb6641aa44c762ee90786fe0

NodeDriver.sys

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Editor de compatibilidad de hardware de Microsoft Windows

20221002 19:48:02

20221019 17:15:00

909f3fc221acbe999483c87d9ead024a

LcTkA.sys

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Editor de compatibilidad de hardware de Microsoft Windows

La siguiente tabla incluye ejemplos firmados por certificados EV donde el nombre de la organización es Dalian Zongmeng Network Technology Co., Ltd.

Tiempo de compilación

Hora firmada

MD5

Familia

Nombre del archivo

Serie del certificado

Nombre común del emisor del certificado

Nombre de la Organización

19700101 00:00:00

20201006 16:26:00

05a56a88f34718cabd078dfd6b180ed0

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20201128 18:12:00

2406150783d3ec5de13c2654db1a13d5

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20210226 22:11:00

29506adae5c1e97de49e3a0d3cd974d4

Proxy inverso rápido

%home%\unpack\sakuralauncher_v2.0.1.2\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20220219 13:29:00

48c1288cd35504de6f4bd97ec02decb1

Proxy inverso rápido

svchost.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20200820 12:34:00

578e70a8a7c1972bbc35c3e14e53cbee

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20201128 18:13:00

6216fba5cf44aa99a73ca919301142e9

Proxy inverso rápido

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20220219 13:29:00

69fa8946c326d4b66a371608d8ffbe5e

Proxy inverso rápido

frpc_windows_amd64.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20200802 07:11:00

6e4e37641e24edc89cfa3e999962ea34

Proxy inverso rápido

frpc.exe

0c:25:f1:f2:a8:d4:a2:93:21:e8:28:6e:ed:50:e3:e2

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20210605 19:09:00

8a930742d1da0fcfe5492d4eb817727c

Proxy inverso rápido

c:\archivos de programa\sakurafrplauncher\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

20211220 07:37:56

8fbad6e5aa15857f761e6a7a75967e85

Lanzador SOGU

powerdvd18.exe

03:25:0b:78:25:67:56:fc:10:db:c6:7a:22:52:7b:44

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20201224 19:02:00

976bac6cfb21288b4542d5afe7ce7be7

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20210605 19:09:00

aaeedaa5880e38dc63a5724cf18baf13

Proxy inverso rápido

frpc_windows_386.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

20200704 03:53:04

20200704 08:13:00

ab5d85079e299ac49fcc9f12516243de

Lanzador SOGU

SmadavMain.exe

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

Firma de código de alta seguridad DigiCert CA-1

Dalian Zongmeng Network Technology Co., Ltd.

20200522 10:23:03

20200523 06:16:00

c43de22826a424b2d24cf1b4b694ce07

Lanzador SOGU

AdobeHelp.exe

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

Firma de código de alta seguridad DigiCert CA-1

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20201006 16:28:00

d312a6aeffec3cff78e9fad141d3aaba

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20210321 09:12:00

d36084aad079ca8d91c2985eca80327b

Proxy inverso rápido

c:\archivos de programa\sakurafrplauncher\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

19700101 00:00:00

20201224 19:02:00

e086d7d5a5657800a0d7e9c144fac16d

Proxy inverso rápido

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

CA de firma de código DigiCert EV

Dalian Zongmeng Network Technology Co., Ltd.

La siguiente lista de MD5 son archivos binarios firmados con certificación que han sido identificados como sospechosos por numerosas soluciones de seguridad. Si bien es posible que ninguno de ellos sea directamente malicioso, merecen una investigación si están presentes en un entorno.

0080fde587d6aedccb08db1317360d32

ff985a86bfa60576a8e86b05603ac5fa

b00c95692923b8c1e2d45c4a64a5ff05

00a7538086c266e8bcf8a0b1c2b6a2e4

62f289f3b55b0886c419a5077d11eb3c

b0fea98c70e510f88b57f45a3f516326

00dd476fa04da76fc2ed37cfdde59875

63960dbc7d63767edb6e1e2dc6f0707b

b164daf106566f444dfb280d743bc2f7

024e92733def0b1180f0ee54b81e5836

63d877650a3219f5991fd66bafc46bc5

b34403502499741762912c7bfc9ff21f

03710450e5bebd207bbe471c4685dc49

64a81238d20dcbd4b21abb609040f698

b44dfd8c5e7b0c8652d7a647dfe252e4

07bac50f875f09ad644827c8918e6837

66c145233576766013688088b03103e3

b500ee8d8cb045936d2996a1747bcded

07c4309678ce891fdd868e10c6e7aad4

66d2860a078fb11832ceef28b23481c2

b5c73db8e70d6f46ad9b693f3ce060d2

0ae78b90151ec2b0457bb0c2675048f5

67ff9de8e72c4dfdf4b4404abf253e7e

b7239e06bcbe6e2c7bb2f7a859cbf4f7

0b4a0fe7db8400ef65ce7618177351cf

688c138fffbb4e7297289433c79d62f5

b83d8761748abb032ab5ae75519eaf71

0d0ffa28823276732a9e4dea5c25cc34

688ca3c12b63fec9f921334d24cf6f78

b849deae20052d72c3c623660fa97e64

14a1d3e07520df607635a3356877f5b9

6916b29893f618ba76b36bd8c297b7ac

b8783155d6be5bb3a6d75edaa7ae7f71

14e6507566a404e3158b3e36314bb3a1

6a066d2be83cf83f343d0550b0b8f206

b9d40581ae936662c37f2edc979d7e99

1548b70d8581cbde703b1fb50b48a6a8

6a23d752fbc30e603bbb050a83a580eb

ba9907be3a0752369082199ed126f8d8

163118c947aacd0978ad3e019c7d121f

6a893aab7b79b73da7a049c2707aabf1

bb46eb379caae3b05e32d3089c0dd6d0

179ca82f2e523be47df0dcebe808408d

6b0a733568d80be653fc9a568cdd88c5

bd25be845c151370ff177509d95d5add

198877a8ce99289f7281b1475c13ba9f

6c3180163e4a5371647e734c7c817de5

bf13a2f4e2deb62b7dee98a012e94d61

19d14bf80b3dc4e5b774b362f079a102

6c7479b5bb27f250fa32331b6457883a

c0471f78648643950217620f6e7e24cc

19d99758b1f33b418cb008530b61a1e7

6d32d2d7a44584c92115ac2a2c3ba3af

c0debd2cfb62fc2c56bfd4104b1ff760

1e63ec5b89edb805956f347b5b5cfaae

6e1bb443369973923c8eced16fcbd5cf

c12d465743b9c167fc819b7872cd014c

1f2888e57fdd6aee466962c25ba7d62d

6e3516775e7e009777dcdb7a314f1482

c35e6a0e1aef31ed9855499df4317acd

1f46065ac9479253e4babc42b72bc4a8

6e730cf4ebcd166d26414378cab3a6d8

c5120095bf08655407c2f0215d10ac1d

1f929fd617471c4977b522c71b4c91ed

6fcf56f6ca3210ec397e55f727353c4a

c77e931a6388b2040cc7c5a1a0f56d93

207cfc647647419adcfcc44c6059a1d1

7182ed3da406ba19bb9ffd8e4948d858

c7850060cfe574a2ef278ba46a136a5e

20f94c9cfc3cf012bf90546985f9f3c4

721b40a0c2a0257443f7dcc2c697e28a

c812fa7c628c3e19a3da5910acf6206e

22519936cd9e8c7d524b0590826c3e6e

72dbbd1dd61c6b0c2571e83f2c3d1825

c8495649615bf1b9f839d7f357d6d02f

228f9f0a0466fba21ac085626020a8e1

734b3a6e6cbd1f53fbb693140d2c3049

cadc3e4090aed708526f0d6016aba7fd

22949977ce5cd96ba674b403a9c81285

761939b0e442821985ab3281f97e6ceb

cb68b7979bbb55bbde0a8c60fe3e5184

232b0156173a9f8f5db6b65aa91e923b

76c6ae0157ea7f41f55ed7e7d241f910

cb6a416204b57470fab0b944d7b59756

23cebc6b0eb76262d796577895f418d2

7737e5e40a439899f326279b7face22c

cbc3d1c88a5d0491b7b50bb77ada93fe

24eb9eef69475e4980a555898b25f0c1

77392be5eae901ae371c37861aa88589

cc29cf2294175315acbf33054151f3cd

262c92f2437c80adf232ef147ca2d734

787782e0395b3d5e32cda6fdea2faba0

cd4b6d8bb762c2281c9b1142588ede4c

267c30e484322ad31fa9e1374d6653f0

79ebae9ab3f3b59c754ab1cc82bf7e95

ce455358bf71c88b45fcb5789100969a

26caf3361ec353593f51ebbd3fe5bbde

7a5896673b81beb5589b512c6d781a85

ce4d3a69331ff87920c903a4e4091904

26d6833b1875b138ea34d6ab430cafcd

7a9df5c46c7c65b807f78c6c0bb2c38c

ce658935ef6e223893121dce22908655

2739311a6bb1a7b0b88ff24bf603a54d

7b6e3fe75c5ae68d7d5a3ae7b00097e0

ce6ef4dc1dd54sea51eaf594a496a

27bb03f2659cd95bf9e7af899ee32728

7ba744b584e28190eb03b9ecd1bb9374

d11b9a4664ea03dfe3e8e1d737cd15f8

286b10451fe364310f4a7baeb0e94a3f

7c6c1b7e6378b4c0bcceee84e0e26fde

d22a56e31b4e1fd5b06d46fa56f59151

2a12b959c55f4a2d34f96e45e2417a71

7cb012393114dfb35d60e70166a97986

d27fac80339ad1f2ee86374884996c52

2aa8dc7a5dff7817ce0a9c7cf30847bf

7d78b5773845c5189ca09227d27a9d5a

d2ed678542a5d1db494dc47359861467

2bec13be352db14fc9665ddf128deb8c

7dd800f100a049a72983dd75f5286d70

d47494b717c82eca8278dea610e1265d

2cc14f20cf6847a2084f2c9cc0622015

7e0a6a234a64350e684544e272c7fc41

d60d8f3f12550dca4ba07ff61263b67f

2d84c734d813af49cec3c3aa4aa4e6e3

7e2e29707e7a601e8ea7f3e2f4d672a2

d60e235b769cadbc7e83090b79b73ed3

2e323c67a8781531a294684f7d2761ec

7e7002dc10c62fb674a3184f4ad6688a

d617c9a86328921a8caf924575faf2a2

2f6daca66d2f64c7b1b6f8693ea09cb7

7ee0b286003dc9e8006c22dcd70663f0

d66fc4e2f537566bb4d91cdea0ac64e5

309f16f50e9074ce797eb38eda279298

7f9309f5e4defec132b622fadbcad511

d6b2947d8ff985fa84d697cc6cfdb7ff

331113d1d54a3610f9c9bd72fc783721

811f8d76ff00c9eda27b51a0fb2b0d39

d6e506a1e0417c4507a5314529d84e34

33b5485b35b33fd8ead5a38899522cce

822bbdec4e5630c3170ee05119dcfb5c

d77209a21352486435d85e339596eeae

3452586b669e12c1c4ee9db3c1006018

8264b3bdf46c0ece4f66151a613baed5

d87f08d1e50f2a3423813bf161b40859

35c95b6b5f4a6a0bda56276846dae17b

832fe73a91993b387f9a49fafb9d4ea7

dc170d9bba14b0421c2514465055a93f

35deaa9d004714dc6ef9661b91889148

84ce2a917e3d4aefcfc7d17e4a840a99

dc564bac7258e16627b9de0ce39fae25

3608b3a24736dea4bf24a8ac5ae00e30

85063d67203b91bef9772446a1723021

dd1a5bd34f8cfa56e439c6fb275356d6

37d4ba16136986bfded2b6fc698abf02

860f5812d65dc157a59c14e57bc0eaaf

ddee86b84dcb72835b57b1d049e9e0cd

395ea8b7d0f257850a3a04a1484bac4d

8986b5b6013cfb2bd3e6c8d22c453390

de4b5043c82ab3b36b4ae73a2e96d969

398384a6cf2b7e26947d2e0acbfeeda5

8ac6ef2475ec89d3709fc124573cb380

e051141b1dcb9e7f889fea7c8b1d6ba5

39ee31f03fe1bb93d47f560f73deffa9

8af6a129902a594ddaceafba38b7c060

e0e0c46ba4f969919e2879717c60ef2a

3d4b685dcaebc5bba5f9421572a4ab91

8b423e0395ba6419fcedc0701327c97c

e2465ea5c2d5dac4ae1b8d50da1d7cce

3db8146544ee26866a8e99bacb11188c

8d38a092ae5a3511bedadb7243a84409

e2c146a2522e4f40e5036c3fe12c3560

3ecaf3ba4e93916714cc43320f6f2c58

8e4d0f679b092296a2f74cf812907d05

e30830c05ed3d2a3178a3678f3169bec

3fd815ebb7d2ab2b62cff3c777b51e30

8fc8c6e1b2a1047752f60549878fb55f

e5f62ef06b0dd656e1e47913f01f9f8a

4070a8b16f318d108be0984e628421ad

909f3fc221acbe999483c87d9ead024a

e6960ae657786979493da1786191bcf4

40fda9a3c1be41be414f3795b25647f5

90affc996a2932cb0fec4e31cd673ae9

e777e5a8d2ba97c82128f04272e7841c

415240633837ebcbd80e080ba99c03a9

90b9a4328c4f712815760f9da49bcb6a

e7ff38a94ad765eb305fc7f0837f5913

42200c8422347f63b3edb45ea5aa9c45

913d50851abf337abc3c73f2d4e7fb34

ea033ee6df904d863448ffef6386b6ae

42a417e54639c69f033f72bbafe6e09a

929b293090bcc7900c1e8f9ba519e219

ea45419d992c15002c93067840568121

4349378822e2316f18784c10c7ca08a1

934d0cda4cba428e9b75ff16d5f4b0b1

ea5f6ab5666193f805d13a49009f0699

45991757d4ca2dab9e81f2fcbbc1ae23

93c5faf90bc889963f10c608cbde5a14

ee3bad1f5508e2129e0b423b009383e3

45be5c0e7dfe37f88f1fa6c2fbb462c5

947ebc3f481a7b9ee3cf3a34d9830159

ee6b1a79cb6641aa44c762ee90786fe0

467e60b9a0d1153057e0cfd0e721e198

95a04866e6afb8e9b0426f5890681f9a

f07506c30237c96e49eecafa0e5a4ed4

48190fd615dcea5c6679b8e30a8bfec0

9885d56d64ac2391a43f02abb2202181

f111bd9b8e55f60f909649820e116430

486b1afce3484a784a1662513ca1272a

9a8323bc7187441a0d85b9a2e8f580e3

f35a8a8f36c13769b9e9fff05fa4f720

48bf11dd6c22e241b745d3bb1d562ca1

9c4034691f6508e2361b6fca890671f9

f4ee6bee04b2ed18024e3a64a0d58385

48fc05c42549d0b3ec9e73bbb5be40dc

9d1424c87d89095e3cd6785adb54d2ec

f59a1409ce773658e72ad73424841890

4a0f22286134a58d9d20f911a608f636

9dabf30a780794200cd068b145730317

f783277840bbd2023879a87d0788f36e

4b2e59a821589ab091a63770f4a658ed

9e91e55c89f9c17c0a2acaf4376cd72b

f78915cbf89d8749a0a4ab18a2b182bd

4d4c17d8b52cd89da0b17cc9653b2010

9f1d60d3cddea7f7558fad0217759094

f8ccabcbe08bbd2c8420f4d1cffcefd8

4d947e4163e8aeafbfc626eb033bc665

a0fdc4543687a1b341b365d6dd16551c

f9844524fb0009e5b784c21c7bad4220

4e1f656001af3677856f664e96282a6f

a2ee1cc9e80390ca248863004adbde60

f9aad310a5d5c80bbc61d10cc797e4f0

4e8d5c44bfdeffd0168f8a05f6a04e8b

a2f3bce86carne23aede69396dcf7e184

fa00cc96c5bea2979a59d0da0d22c83d

4f5c7367f2ebae0097b6f2f1bebd19b6

a55cb8be2887e99b4f662fc1ae08d265

fa914061f5a40b324454d3fb9fc85ca5

508d42f26f8bd562728e6fca866e05eb

a7251aad1e81c6194b34dabf6edd6b4a

faa5806826ff1ba749b70de0e14835c3

50d13758b811c794bc13769ee3b42e85

a9541530619a3ac2615b92603b705fe6

fbd9ba2b8b2d677d41c30a01c02cfd01

52494f624378ef6ee298f0fc73082d0e

aba1be25da0691761f593725e9c067e5

fd3b7234419fafc9bdd533f48896ed73

52fc9ec7a5c177fe27fb00b6c2c5ff09

ac2a1f2ae6b547619bef93dfadb48937

fd4cee1c7b8167f25a8b4b864ede3c5d

548d48b658305ffb77cc814ea080b542

ac7f0fcb6040eb47ea9855d418c32510

fdb6dae1e8c182089fdb86996436330c

561bc6902367d9e43e27c5543e7a5818

acac842a46f3501fe407b1db1b247a0b

fe2f8e46ae540d7299c61ba083d52399

5800a88d39fdf63e5a43bfcc6700d907

adab615712eac2719691d01b69254f29

fe7ecd399eec7036a63f0b7eb5ebcfb1

5b281df4aaa915f660e075dc944a02c2

add02792cfff7b19b8e526a247acb0ba

ff43f91f2465504e5e67d0b37d92ef18

5e5d9971c90287a6aa905e54b2a21b1c

ae2f3e2412925a767e372c9c0ccf7ced

Los siguientes detalles del certificado se extraen de la firma del certificado en el ejemplo POORTRY. Sin embargo, tenga en cuenta que se trata de una certificación legítima que firma el certificado de Microsoft. Tenga en cuenta que se eliminaron algunos detalles por motivos de brevedad.

Certificado:

Datos:

Versión: 3 (0x2)

Número de serie:

33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

Algoritmo de firma: sha256WithRSAEncryption

Emisor: C = EE. UU., ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Microsoft Windows Third Party Component CA 2014

Validez

No antes: 7 de junio a las 18:08:06 2022 GMT

No después: 1 de junio a las 18:08:06 2023 GMT

Asunto: C = EE. UU., ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Editor de compatibilidad de hardware de Microsoft Windows

Información de clave pública del sujeto:

Algoritmo de clave pública: rsaEncryption

Clave pública RSA: (2048 bits)

Exponente: 65537 (0x10001)

Extensiones X509v3:

Uso de clave extendida X509v3:

1.3.6.1.4.1.311.10.3.5, 1.3.6.1.4.1.311.10.3.5.1, Firma de código

Identificador de clave de asunto X509v3:

41:8F:FB:78:B4:1F:1F:7F:19:8E:36:12:08:D0:22:76:6B:58:FA:29

Nombre alternativo del sujeto X509v3:

DirName:/OU=Microsoft Operations Puerto Rico/serialNumber=232147+470769

Identificador de clave de autoridad X509v3:

ID de clave:C8:3A:9C:A7:4A:C3:23:F2:25:7E:B9:DA:AB:29:53:0E:54:00:C3:A1

Enlace a la fuente RSS

Determine la eficacia de su ciberdefensa

Validado por ESG

Tome la evaluación

Los expertos de Mandiant están listos para responder sus preguntas.