Extraer Digital Signatures de malware firmados

mayo 13, 2013 § Deja un comentario

A veces, los atacantes firmar digitalmente su software malicioso. El análisis de la firma ayuda a los analistas de malware a entender el contexto del incidente y podrían usar la firma como un indicador de un compromiso determinado. Lenny Zeltser detalla cómo extraer la firma digital incrustada en un archivo utilizando Pyew, Disitool y OpenSSL en Linux y disponibles en la distribución Remnux.

El documento de Windows Authenticode Portable Executable Signature Format de Microsoft explica que las firmas se pueden incrustar “en un archivo de Windows PE, en una ubicación especificada por una entrada en la tabla Certificate Table en Optional Header Data Directories”. La ubicación de la firma se almacena dentro del campo de seguridad de la estructura “OptionalHeader” del encabezado PE.

Una forma de determinar si el archivo contiene una firma incrustada es utilizar Pyew, un editor/desensamblador hexadecimal sobre línea de comandos y pensado para el análisis de malware. Después de cargar la muestra en Pyew, se puede mirar en el tamaño del campo “IMAGE_DIRECTORY_ENTRY_SECURITY”. Un valor distinto de cero indica que el archivo incluye probablemente un “embedded signature”:

En la salida de se ve que el tamaño de “IMAGE_DIRECTORY_ENTRY_SECURITY” es distinto de cero y esto indica que probablemente “kiwi.exe” incluye una firma digital incrustada.

Disitool, creada por Didier Stevens, proporciona otra manera de determinar si un archivo PE incluye una firma y con ella se puede borrar, copiar, extraer y agregar firmas. Si intenta extraer una firma de un archivo sin firmar, Disitool le dirá “source file not signed”. En el siguiente ejemplo, vemos que el archivo ha sido firmado. Con Disitool se sacó la firma, para poder examinarlo.

Disitool guarda el certificado extraído en formato binario DER y se puede examinar su contenido con OpenSSL:

openssl PKCS7-inform DER-print_certs-text-in archivo_entrada> out_file

En Windows, se puede recoger algunos de estos detalles haciendo clic derecho sobre el archivo PE y ver sus propiedades, así como con la ayuda de la herramienta sigcheck de Microsoft.

Cristian de la Redacción de Segu-Info

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Extraer Digital Signatures de malware firmados en Seguridad Informática.

Meta

A %d blogueros les gusta esto: