Extraer Digital Signatures de malware firmados
A veces, los atacantes firmar digitalmente su software malicioso. El análisis de la firma ayuda a los analistas de malware a entender el contexto del incidente y podrían usar la firma como un indicador de un compromiso determinado. Lenny Zeltser detalla cómo extraer la firma digital incrustada en un archivo utilizando Pyew, Disitool y OpenSSL en Linux y disponibles en la distribución Remnux.
El documento de Windows Authenticode Portable Executable Signature Format de Microsoft explica que las firmas se pueden incrustar "en un archivo de Windows PE, en una ubicación especificada por una entrada en la tabla Certificate Table en Optional Header Data Directories". La ubicación de la firma se almacena dentro del campo de seguridad de la estructura "OptionalHeader" del encabezado PE.
Una forma de determinar si el archivo contiene una firma incrustada es utilizar Pyew, un editor/desensamblador hexadecimal sobre línea de comandos y pensado para el análisis de malware. Después de cargar la muestra en Pyew, se puede mirar en el tamaño del campo "IMAGE_DIRECTORY_ENTRY_SECURITY". Un valor distinto de cero indica que el archivo incluye probablemente un "embedded signature":
En la salida de se ve que el tamaño de "IMAGE_DIRECTORY_ENTRY_SECURITY" es distinto de cero y esto indica que probablemente "kiwi.exe" incluye una firma digital incrustada.
Disitool, creada por Didier Stevens, proporciona otra manera de determinar si un archivo PE incluye una firma y con ella se puede borrar, copiar, extraer y agregar firmas. Si intenta extraer una firma de un archivo sin firmar, Disitool le dirá "source file not signed". En el siguiente ejemplo, vemos que el archivo ha sido firmado. Con Disitool se sacó la firma, para poder examinarlo.
Disitool guarda el certificado extraído en formato binario DER y se puede examinar su contenido con OpenSSL:
En Windows, se puede recoger algunos de estos detalles haciendo clic derecho sobre el archivo PE y ver sus propiedades, así como con la ayuda de la herramienta sigcheck de Microsoft.
Cristian de la Redacción de Segu-Info
El documento de Windows Authenticode Portable Executable Signature Format de Microsoft explica que las firmas se pueden incrustar "en un archivo de Windows PE, en una ubicación especificada por una entrada en la tabla Certificate Table en Optional Header Data Directories". La ubicación de la firma se almacena dentro del campo de seguridad de la estructura "OptionalHeader" del encabezado PE.
Una forma de determinar si el archivo contiene una firma incrustada es utilizar Pyew, un editor/desensamblador hexadecimal sobre línea de comandos y pensado para el análisis de malware. Después de cargar la muestra en Pyew, se puede mirar en el tamaño del campo "IMAGE_DIRECTORY_ENTRY_SECURITY". Un valor distinto de cero indica que el archivo incluye probablemente un "embedded signature":
Disitool, creada por Didier Stevens, proporciona otra manera de determinar si un archivo PE incluye una firma y con ella se puede borrar, copiar, extraer y agregar firmas. Si intenta extraer una firma de un archivo sin firmar, Disitool le dirá "source file not signed". En el siguiente ejemplo, vemos que el archivo ha sido firmado. Con Disitool se sacó la firma, para poder examinarlo.
openssl PKCS7-inform DER-print_certs-text-in archivo_entrada> out_file
En Windows, se puede recoger algunos de estos detalles haciendo clic derecho sobre el archivo PE y ver sus propiedades, así como con la ayuda de la herramienta sigcheck de Microsoft.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!