Signature numérique et malware

Microsoft a publié le billet (Microsoft Security Advisory (2718704) suivant concernant une vulnérabilité exploitée par le malware Flame : http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

La vulnérabilité permet de créer des fichiers avec une signature Microsoft en exploitant un veille algorithme.
A quoi sert la signature numérique des fichiers ?
A certifier qu’un fichier a été créé par une entreprise en particulier (Microsoft, Adobe etc).
Cela permet donc de s’assurer de la source des fichiers. Notamment dans le cas des malwares/virus, ces derniers ne sont pas signés et donc ont une source inconnue, cela est aussi le cas des freeware et autres qui en général n’ont pas de signature (la signature étant payante).

L’IDS Comodo se base sur la signature des fichiers pour déterminer la source et donner des fichiers et donner des accès au système automatiquement afin de limiter le nombre de popups.
Dans le cas de Windows Seven/Vista 64 bits, cela peut permettre de charger des drivers.

Ci-dessous, le programme TDSSKiller signé, lors de l’execution depuis le navigateur, l’avertissement vous informe que l’éditeur est Kaspersky Lab.

Avec le programme catchme de GMER qui est non signé, l’éditeur est inconnu.


Dans les propriétés du fichier, à partir de l’onglet Signatures numériques, il est possible d’obtenir les informations sur la signature numérique.

Par le passé, les auteurs de malwares/virus avaient pu générer par le passé des droppers signés, du fait par la compromission de certificats :

Il y a aussi les cas d’injections de fichiers signés comme c’est le cas de ZeroAccess: http://www.malekal.com/2012/02/01/zeroaccess-social-engeenering-contre-luac-via-adobe-flash/

Dans le cas du problème signalé par Microsoft, en appliquant la mise à jour de Microsoft, cela révoque les certificats qui posent soucis.

Vu sur ce fichier : http://malwaredb.malekal.com/index.php?&hash=993b1c609aca260270eeb76a28aed96b

https://www.virustotal.com/file/889931c530bdd3b8bd9c1730b3527a5ca1d5f0bb8d09312a0e9ba3cc3b3cf036/analysis/1338828485/

AhnLab-V3 Spyware/Win32.Zbot 20120604
AntiVir TR/Vundo.Gen 20120604
Kaspersky HEUR:Trojan.Win32.Generic 20120604
Panda Suspicious file 20120604

Une signature numérique pourrie :

Ransomware_fake_police_fausse_signature_microsoft8

Sicheck retourne ceci – notez le « Bad Signature » avec comme éméteur Microsoft.
Le dropper semble vouloir se faire passer pour le programme FreeCell.

Le dropper lance notepad.exe pour ensuite l’injecter

Le message du ransomware fake police n’est pas affiché car le site ne répond pas.

Dans le cas ci-dessus, la signature est invalide car délivré par aucune entité.
La multiplication des trous dans les signatures numériques ne sont pas bon signe.

Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du Trojan Bedep :

EDIT – Decembre 2014

Début Décembre je postais une Backdoor.MSIL signée, VirusTotal retourne le certificat clairement : https://www.virustotal.com/fr/file/2276ad35be81be7fd60fff51cf8fc5083a241ed1985cb479670fca3275970c40/analysis/1417652730/
On peut imaginer que la société en question a été piratée pour voler de quoi signer des fichiers.

Dans le même style, le pirage de Sony a permis de récupérer de quoi signer des fichiers et donc des malwares sous le nom de la société : http://www.nextinpact.com/news/91334-destover-malware-signe-avec-certificat-derobe-a-sony-pictures.htm

Backdoor_signee

Backdoor_signee2

EDIT – 2016  Étude IBM: Les malware signés sont en constante augmentation

Se reporter aussi à la page : Étude IBM: Les malware signés sont en constante augmentation

EDIT – Juin 2016

Cas d’un Trojan Banker signé par des malvertising : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Trojan_banker_signe

et autre cas avec Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex)

Trojan.Phorpiex_fichiers_signes

d’ailleurs toutes ses backdoors sont signées :

snk_worm_ircbot_signed_files

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 77 times, 1 visits today)

4 thoughts on “Signature numérique et malware

  1. Deux possibilités :
    – Flame n’est un buzz et alors la compromission me semble étrange
    – Flame n’est pas un buzz et la compromission est intentionnelle (implication du gouvernement US)

  2. 01Net publie un article intéressant sur Flame, basé sur les analyses de Symantec et Kasperky.
    On y découvre un peu son mode de fonctionnement, certains de ses vecteurs d’infection (en se faisant passer pour un proxy WindowsUpdate !), les données récoltées ( :affraid: ) et bien d’autre choses (espionnage bluetooth !).
    > http://www.01net.com/editorial/567735/flame-les-premiers-secrets-de-la-cyberarme-reveles/

    D’ailleurs Les auteurs de flame ont décidé d’envoyer un ordre d’autodestruction au machines encore infectées pour éviter toute analyse : http://it.slashdot.org/story/12/06/08/013204/flame-malware-authors-hit-self-destruct

    Microsoft va aussi se concentrer sur le renforcement de la sécurité de windows Update : http://www.lemagit.fr/article/microsoft-securite-windows-flame/11206/1/microsoft-proteger-windows-update-contre-flame/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *