Signature numérique et malware

Quelques actualités autour de l’utilisation de fichier signés par des malwares.
Si vous ne savez pas ce qu’est la signature numérique de fichiers et à quoi cela sert.
Vous pouvez lire notre article : Signature numérique des fichiers sur Windows et sécurité

2012 : vulnérabilité autour de la signature de fichiers

Microsoft a publié le billet (Microsoft Security Advisory (2718704) suivant concernant une vulnérabilité exploitée par le malware Flame : http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

La vulnérabilité permet de créer des fichiers avec une signature Microsoft en exploitant un veille algorithme.
A quoi sert la signature numérique des fichiers ?
A certifier qu’un fichier a été créé par une entreprise en particulier (Microsoft, Adobe etc).
Cela permet donc de s’assurer de la source des fichiers. Notamment dans le cas des malwares/virus, ces derniers ne sont pas signés et donc ont une source inconnue, cela est aussi le cas des freeware et autres qui en général n’ont pas de signature (la signature étant payante).

L’IDS Comodo se base sur la signature des fichiers pour déterminer la source et donner des fichiers et donner des accès au système automatiquement afin de limiter le nombre de popups.
Dans le cas de Windows Seven/Vista 64 bits, cela peut permettre de charger des drivers.

Ci-dessous, le programme TDSSKiller signé, lors de l’execution depuis le navigateur, l’avertissement vous informe que l’éditeur est Kaspersky Lab.

Avec le programme catchme de GMER qui est non signé, l’éditeur est inconnu.


Dans les propriétés du fichier, à partir de l’onglet Signatures numériques, il est possible d’obtenir les informations sur la signature numérique.

Autres cas de fichiers signés numériquement par des malwares

Par le passé, les auteurs de malwares/virus avaient pu générer par le passé des droppers signés, du fait par la compromission de certificats :

Il y a aussi les cas d’injections de fichiers signés comme c’est le cas de ZeroAccess: https://www.malekal.com/2012/02/01/zeroaccess-social-engeenering-contre-luac-via-adobe-flash/

Dans le cas du problème signalé par Microsoft, en appliquant la mise à jour de Microsoft, cela révoque les certificats qui posent soucis.

Vu sur ce fichier : http://malwaredb.malekal.com/index.php?&hash=993b1c609aca260270eeb76a28aed96b

https://www.virustotal.com/file/889931c530bdd3b8bd9c1730b3527a5ca1d5f0bb8d09312a0e9ba3cc3b3cf036/analysis/1338828485/

AhnLab-V3 Spyware/Win32.Zbot 20120604
AntiVir TR/Vundo.Gen 20120604
Kaspersky HEUR:Trojan.Win32.Generic 20120604
Panda Suspicious file 20120604

Une signature numérique pourrie :

Ransomware_fake_police_fausse_signature_microsoft8

Sicheck retourne ceci – notez le « Bad Signature » avec comme éméteur Microsoft.
Le dropper semble vouloir se faire passer pour le programme FreeCell.

Le dropper lance notepad.exe pour ensuite l’injecter

Le message du ransomware fake police n’est pas affiché car le site ne répond pas.

Dans le cas ci-dessus, la signature est invalide car délivré par aucune entité.
La multiplication des trous dans les signatures numériques ne sont pas bon signe.

Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du Trojan Bedep :

EDIT – Decembre 2014 – Backdoor.MSIL signée

Début Décembre je postais une Backdoor.MSIL signée, VirusTotal retourne le certificat clairement : https://www.virustotal.com/fr/file/2276ad35be81be7fd60fff51cf8fc5083a241ed1985cb479670fca3275970c40/analysis/1417652730/
On peut imaginer que la société en question a été piratée pour voler de quoi signer des fichiers.

Dans le même style, le pirage de Sony a permis de récupérer de quoi signer des fichiers et donc des malwares sous le nom de la société : http://www.nextinpact.com/news/91334-destover-malware-signe-avec-certificat-derobe-a-sony-pictures.htm

Backdoor_signee

Backdoor_signee2

EDIT – 2016  Étude IBM: Les malware signés sont en constante augmentation

Se reporter aussi à la page : Étude IBM: Les malware signés sont en constante augmentation

Voici le cas d’un Trojan Banker signé par des malvertising : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Trojan_banker_signe

et autre cas avec Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex)

Trojan.Phorpiex_fichiers_signes

d’ailleurs toutes ses backdoors sont signées :

snk_worm_ircbot_signed_files

EDIT – Avril 2017 : de plus en plus de malwares signés

Trend-Micro a produit une analyse de l’utilisation de malwares signés : Understanding Code Signing Abuse in Malware Campaigns
De plus en plus de malwares signés, avec sans surprises, les adwares et PUPs qui tiennent le haut du pavé.
Néanmoins, les trojans ne sont pas si loin que cela, même Trend-Micro parle de Somoto qui peut être classé en PUP.
On se rappellera tout de même en 2016, l’attaque de StuxNet qui a été faites à partir de certificat Realtek et  JMicron Technology Corp. volés.

La liste des PUPs signés… de nos jours, ils le sont presque tous.
Ces derniers se diffusent à travers des sites de cracks.

Comme il y a de la demande, il existe des services de ventes de certificats dans le monde de l’underground.
Plus d’informations sur la page : Business malwares : le Pourquoi des infections informatique

La sécurité et les malwares autour de la signature de fichiers

 

(Visité 152 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet