Blog

不正なドライバに目を光らせる: 証明署名付きマルウェアの追跡

Mandiant Intelligence
Dec 13, 2022
11 min read
|   Last updated: Jan 30, 2023
Incident Response
Malware
Threat Research

最近のインシデントレスポンス調査において、Mandiantは、Windowsシステム上の特定のプロセスを終了させるために使用される悪意のあるドライバを発見しました。このケースにおいて、ドライバはエンドポイント上のEndpoint Detection and ResponseEDR)エージェントを終了させるために使用されていました。Mandiantは、この悪質なドライバーをPOORTRY、そのローダをSTONESTOPとして追跡しています。最初の発見から間もなく、MandiantMicrosoft Windows Hardware Compatibility Authenticode署名のついたPOORTRYドライバサンプルを観測しました。このドライバのAuthenticodeメタデータを注意深く分析した結果、Windows Hardware Compatibility Program経由で署名された悪意のあるドライバについて、より大規模な調査が行われることになりました。この調査により、より広範な問題が発見されました。

  • 悪意のあるドライバはMicrosoftによって直接署名されており、元のソフトウェアベンダを特定するには、コードで署名を検査しなければならない
  • 複数の異なる攻撃者に関連するマルウェアファミリーが、このプロセスで署名されている
  • Mandiantは、証明署名付きマルウェアに関連する少なくとも9つの固有の組織名を特定

本調査は、SentinelOne社によるブログ記事とともに公開されています。

コード署名とWindowsハードウェア互換性プログラム

人間関係は信頼の上に成り立っています。そして、日々コンピュータを使用する際のソフトウェアとの関係についても同じことが言えます。そのプログラムの実行を信頼できるか?その理由は?ソフトウェアは、エンドユーザーにとって非常に不透明な場合があります。そのソフトウェアがX X社の製品である、と主張されるとき、エンドユーザーがそのソフトウェアの信頼性を確認するためには、どのようなメカニズムが存在するのでしょうか?

コード署名は、ファイルの整合性と信頼性を確保するための手段です。ソフトウェアベンダーは、コード署名のために使用する証明書を、CA/Browser Forum および CA Security Council が定めた基準を遵守する信頼できる認証局 (CA) から取得します。これらのガイドラインでは、企業の法的存在と身元を確認すること、証明書の要求者がソフトウェアベンダーの代理として行動することを許可されていることなどの要件が詳細に規定されています。

この証明書は、ソフトウェアに署名し、ソフトウェアとオペレーティングシステムの間に信頼レベルを提供するために使用されます。コード署名の実施方針は、署名付きコードの実行のみを許可するものから、署名付きコードの実行に対するセキュリティ警告を最小化するもの、純粋にアプリケーションの信頼性を示す電子署名として機能するものまで、OSやファイルの種類によって異なります。

Code Signing Overview
図1:コード署名の概要(出典)

MicrosoftWindowsバイナリ用のコード署名の実装は、Authenticodeとして知られています。Authenticodeは、ドライバやドライバパッケージに特化したいくつかの機能を備えており、Windowsハードウェア互換性プログラム(Windows Hardware Compatibility Program)を通じて、ハードウェアベンダーがドライバに適切な署名を付与できるように支援します。

"Windowsハードウェア互換性プログラム"は、Windowsと互換性があり、Windows 10Windows 11Windows Server 2022上で確実に動作するシステム、ソフトウェア、ハードウェア製品を提供できるようにするためのものです。また、このプログラムでは、ドライバーの開発、テスト、配布のためのガイダンスも提供されます。Windows Hardware Dev Centerダッシュボードを使用すると、提出物の管理、デバイスやアプリのパフォーマンスの追跡、テレメトリの確認など、さまざまなことができます。

Windows ハードウェア互換性プログラムの作業には、複数の段階があります。

Steps in Windows Hardware Compatibility Program
図2:Windowsハードウェア互換性プログラムの手順

Windows 10以降で動作させる場合、ドライバをMicrosoftに提出し、証明署名を受けることができます。

この証明署名プロセスでは、提出されたドライバパッケージの整合性を確認し、ドライバパッケージを提供したソフトウェア発行者の身元を確認するために、電子署名が使用されます。このプロセスでは、提出組織は、他のコード署名証明書よりも識別要件が強化され、より強力な暗号化アルゴリズムを使用しなければならないEVExtended Validation)証明書でドライバパッケージに署名することが要求さ れます。このEV証明書は、強化された監査要件に合意した、より少数の認証局によって提供されます。

さらに、ベンダーは、ドライバをハードウェアラボキット (HLK) テストに提出し、Windows Certified を取得することができます。ドライバが証明署名を受けても、それはWindows Certifiedではありません。Microsoftからの証明署名は、ドライバがWindowsによって信頼できることを示しますが、ドライバはHLK Studioでテストされていないため、互換性、機能性などに関する保証はされていないからです

互換性プログラムのプロセスにおいて、証明署名付きドライバを提出するには、大聞く9つのステップがあります。

  1. ハードウェアデベロッパープログラムに登録する。
  2. Extended Validation (EV) 証明書を確認または購入する。
  3. Windows Driver Kit (WDK)をダウンロードし、インストールする。
  4. 承認のために提出されるCABファイルを作成する。CABファイルには、ドライバ本体、ドライバINF、シンボルファイル、カタログファイルなどが含まれる。
  5. EV 証明書で CAB ファイルに署名する。
  6. EV 署名された CAB をハードウェアダッシュボードから送信する。
  7. Microsoftがドライバに署名する。
  8. ハードウェアダッシュボードから署名済みドライバをダウンロードする。
  9. 署名されたドライバーの確認とテストを行う。

このプロセスの成果は、証明署名付きドライバです。

Mandiantは、攻撃者が不正に購入したコード署名証明書を使用してマルウェアに署名し、正当性を示すとともに、アプリケーションの許可リストポリシーなどのセキュリティ制御を無効化することを継続的に確認しています。認証署名付きドライバは、CAから付与された信頼を、Microsoft自身から発信されたAuthenticode署名付きファイルへ転送します。私たちは、攻撃者が不正に入手したEVコード署名証明書を使用してこのプロセスを破壊し、認証署名プロセスを介してドライバーパッケージを提出し、実質的にMicrosoftによって直接署名されたマルウェアを持っていると高い信頼性を持って評価しています。

脅威データと観測事項

 

Mandiantは、UNC3944が証明書署名プロセスを介して署名されたマルウェアを利用していることを確認しています。UNC3944は、少なくとも20225月から活動している金銭的動機のある脅威グループで、通常、SMSフィッシング攻撃によって窃盗した認証情報を使用して初期ネットワークアクセスを取得します。このグループの侵害後の目的は、SIMスワッピング攻撃を可能にするために使用される認証情報またはシステムへのアクセスに集中している場合がおり、おそらく被害組織の環境外で発生する二次的な犯罪行為を支援するためと考えられます。

UNC3944は、20228月という早い時期にSTONESTOPPOORTRYの両方を展開していることが確認されています。

STONESTOPは、悪意のあるドライバーを作成しロードすることでプロセスを終了させようとするWindowsユーザーランドユーティリティです。Mandiantは、この悪意のあるドライバをPOORTRYとして追跡しています。POORTRYは、プロセス終了を実装するWindowsドライバで、機能を開始するためにユーザーランドユーティリティを必要とします。ドライバのエントリでは、STONESTOPのようなユーザー空間ユーティリティによる対話のために、device \KApcHelper1 が登録されます。

Mandiantは、20226月までさかのぼり、広く出回っている盗難証明書を含む、さまざまな証明書による署名済みPOORTRYドライバを観測しています。POORTRYの使用は、さまざまな脅威グループにわたっていると見られ、購入可能なマルウェアや異なるグループ間で自由に共有されているマルウェアと一致しています。

表1:署名入りPOORTRYの追加サンプル

Compile time

Signing time

MD5

Certificate Subject Common Name

2022-06-02
10:09:08

20220811
13:27:00

10f3679384a03cb487bda9621ceb5f90

Zhuhai liancheng Technology Co., Ltd.

2022-06-02
10:09:08

 

04a88f5974caa621cee18f34300fc08a

Zhuhai liancheng Technology Co., Ltd.

2022-06-02
10:09:08

20220915
15:49:00

6fcf56f6ca3210ec397e55f727353c4a

Microsoft Windows Hardware Compatibility Publisher

2022-06-06
15:14:46

 

0f16a43f7989034641fd2de3eb268bf1

NVIDIA Corporation

2022-08-20
15:19:01

20220821
05:43:00

ee6b1a79cb6641aa44c762ee90786fe0

Microsoft Windows Hardware Compatibility Publisher

2022-10-02
19:48:02

20221019
17:15:00

909f3fc221acbe999483c87d9ead024a

Microsoft Windows Hardware Compatibility Publisher

このPOORTRYのサンプルは、不適切に署名されたものが多い以前の例とは異なり、Microsoft Windows ハードウェア互換性発行者証明書を使用して合法的に署名され、検証されています。これは、認証プログラム全体で使用されているMicrosoftの証明書であるため、正規のバイナリにも広く使用されています。

Figure 3: Valid POORTRY signature data
図3:有効なPOORTRY署名データ

証明署名に使用された公開鍵(補足 CPOORTRY証明書詳細)には、鍵の使用値の中に注目すべき2つのオブジェクト識別子(OIDが含まれています。

図4:拡張鍵の使用方法

X509v3 Extended Key Usage:

                1.3.6.1.4.1.311.10.3.5, 1.3.6.1.4.1.311.10.3.5.1, Code Signing

RFC 5280のセクション4.2.1.12では、拡張鍵使用法(EKU)を定義している。この署名に含まれる EKU 値は、このファイルの署名にどの方式が使用されたか、またこの署名証明書がどのような目的で使用され るかを識別するのに役立つ。定義された値は、この証明書がWindows Hardware Compatibilityドライバー署名プロセスで使用され、特に認証署名されたドライバーに使用されることを示す。表 1 OID の説明を示す。

表2:WHQL拡張キー使用オブジェクトID(EKU OID)

EKU OID

Symbolic Name

Description

1.3.6.1.4.1.311.10.3.5

szOID_WHQL_CRYPTO

Windows Hardware Driver Verification

1.3.6.1.4.1.311.10.3.5.1

szOID_ATTEST_WHQL_CRYPTO

Windows Hardware Driver Attested Verification

POORTRYサンプル、証明書、およびこの証明書で署名された多数の正規サンプルとの関連性から、MandiantはこのマルウェアがWindowsハードウェア互換性プロセスによって検証されたと高い信頼性を持って評価しました。

PKCS #7 v1.5仕様のRFC2315SignerInfoコンテンツタイプを定義しており、Authenticode署名付きPEは、最初に特定したPOORTRYドライバ(6fcf56f6ca3210ec397e55f727353c4a)に関するサンプルを特定するために使用できる、いくつかの興味深い構造を含んでいます。

対象フィールドであるprogramNameは、Authenticode固有のSpcSpOpusInfo属性に含まれていますMandiantは、証明署名付きドライバーのprogramNameフィールド(以下、Program Name)には、証明署名のためにドライバーを提出した個々のハードウェアベンダーに関する識別可能な情報が含まれていると、高い信頼性をもって評価しています。

図5: Windows Authenticode Portable Executable Signature Format
SpcSpOpusInfo
  SpcSpOpusInfo is identified by SPC_SP_OPUS_INFO_OBJID
  (1.3.6.1.4.1.311.2.1.12) and is defined as follows:
  SpcSpOpusInfo ::= SEQUENCE {
    programName  [0] EXPLICIT SpcString OPTIONAL,
    moreInfo     [1] EXPLICIT SpcLink OPTIONAL,
  } --#public--

  SpcSpOpusInfo has two fields:
    programName
      This field contains the program description:
      If publisher chooses not to specify a description, the SpcString
      structure contains a zero-length program name.
      If the publisher chooses to specify a
      description, the SpcString structure contains a Unicode string.
    moreInfo
      This field is set to an SPCLink structure that contains a URL for
      a Web site with more information about the signer. The URL is an
      ASCII string.
図6:POORTRY Authenticodeデータ (6fcf56f6ca3210ec397e55f727353c4a)

连纵梦网络科技有限公司

このフィールドは、追加の関連サンプルを特定するための重要な手がかりとなります。Mandiantは、プログラム名を軸に、追加のPOORTRYサンプルを含む11個の新しい疑わしいファイルを特定しました。

表3:大連中盟網絡科技有限公司のプログラム名入りサンプル

MD5

Family

Filename

Signature Date

6fcf56f6ca3210ec397e55f727353c4a

POORTRY

4.sys

2022/09/15 11:49

ee6b1a79cb6641aa44c762ee90786fe0

POORTRY

NodeDriver.sys

2022/08/21 01:43

1f2888e57fdd6aee466962c25ba7d62d

 

Air_SYSTEM10.sys

2022/10/01 11:43

22949977ce5cd96ba674b403a9c81285

 

PcieCubed.sys

2022/08/20 09:37

4e1f656001af3677856f664e96282a6f

 

Sense5Ext.sys

2022/08/09 07:20

7f9309f5e4defec132b622fadbcad511

 

 

2022/08/24 07:33

acac842a46f3501fe407b1db1b247a0b

 

 

2022/08/23 04:40

b164daf106566f444dfb280d743bc2f7

 

 

2022/08/17 10:48

bd25be845c151370ff177509d95d5add

 

2.sys

2022/09/19 24:33

dc564bac7258e16627b9de0ce39fae25

 

7.sys

2022/08/19 08:03

f9844524fb0009e5b784c21c7bad4220

 

Sense5Ext.sys

2022/08/22 14:48

証明書署名付きドライバのprogramNameフィールドは、WHCPポータルへの最初のCAB提出に署名するために使用されたEV Code Signing証明書のX.509 Subject Organization NameO)によって入力されるようです。このことは、VirusTotalや他のMandiantのデータセットにおいて、このOrganization Nameや他の対応するProgram Nameの値に関連するサンプルの大量の不正検知によって裏付けられます。この記事の執筆時点では、証明署名付きドライバのprogramNameフィールドがどのように入力されるかについて、これが正確なメカニズムであることをMicrosoftに確認することはできていません。

表4:大连纵网梦科技有限公司の組織名を持つDigicert EVコード署名証明書

MD5

Family

Certificate Serial

05a56a88f34718cabd078dfd6b180ed0

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

2406150783d3ec5de13c2654db1a13d5

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

29506adae5c1e97de49e3a0d3cd974d4

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

48c1288cd35504de6f4bd97ec02decb1

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

578e70a8a7c1972bbc35c3e14e53cbee

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6216fba5cf44aa99a73ca919301142e9

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

69fa8946c326d4b66a371608d8ffbe5e

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

6e4e37641e24edc89cfa3e999962ea34

Fast Reverse Proxy

0c:25:f1:f2:a8:d4:a2:93:21:e8:28:6e:ed:50:e3:e2

8a930742d1da0fcfe5492d4eb817727c

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

8fbad6e5aa15857f761e6a7a75967e85

SOGU Launcher

03:25:0b:78:25:67:56:fc:10:db:c6:7a:22:52:7b:44

976bac6cfb21288b4542d5afe7ce7be7

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

aaeedaa5880e38dc63a5724cf18baf13

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

ab5d85079e299ac49fcc9f12516243de

SOGU Launcher

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

c43de22826a424b2d24cf1b4b694ce07

SOGU Launcher

0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97

d312a6aeffec3cff78e9fad141d3aaba

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

d36084aad079ca8d91c2985eca80327b

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

e086d7d5a5657800a0d7e9c144fac16d

Fast Reverse Proxy

01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52

観測された対応するEVコード署名証明書はすべてDigicertによって発行されたものでした。証明書シリアル 01:15:3e:7a:3c:8d:c5:0b:3d:23:c8:ba:31:d3:70:52 は時間とともに失効しましたが、他のいくつかは失効していないものと思われます(表 4 の太字部分)。これらの対応するExtended Validation証明書は、Temp.Hexが利用するSOGUマルウェアのランチャーや、オープンソースのFast Reverse Proxyツールの配布物の署名に使用されています。このツールは、イランの国家に支援されていると思われる攻撃者が使用していたことを、Mandiantがこれまでに観測したことがあるものです。

OIDと証明書のデータを利用して、追加の証明書署名付きドライバを収集するYARAルールを開発しました。

これらの証明書署名付きドライバを調査した結果、悪意のあるバイナリで観測されたプログラム名を共有する57の疑わしいサンプルが見つかりました(付録BIndicators of Interest)。これらのサンプルは、9つの異なるプログラム名に分散していました。

図7:不審な証明署名サンプルで確認されたプログラム名

Qi Lijun

Luck Bigger Technology Co., Ltd

XinSing Network Service Co., Ltd

Hangzhou Shunwang Technology Co.,Ltd

福州超人

北京弘道长兴国际贸易有限公司

福建奥创互娱科技有限公司

门恒信卓越网络科技有限公司

连纵梦网络科技有限公司

不正なドライバー署名をサービスとして提供

この調査を通じて特定された疑わしいサンプルは、複数の開発環境アーティファクト、特にプログラムデータベース(PDB)のパスにつながっており、複数の異なる開発環境と複数の異なるマルウェア作者の可能性を示唆しています。

Mandiantは以前にも、コード署名のために共通の犯罪サービスを利用していると疑われるシナリオを観測しています。これは新しいものではなく、2017年にメリーランド大学のCertified Malwareプロジェクトによって記録されている現象です。Mandiantは、これがこれらの疑わしい証明署名付きドライバーと関連するEV署名付きサンプルにおいても起きていることだと考えています。

攻撃者が盗んだり、不正に入手したコード署名証明書を使用することは、一般的な戦術であり、これらの証明書や署名サービスを提供することは、地下経済において儲かるニッチな分野であることが証明されています。Mandiantは、英語、ロシア語、中国語を含むさまざまな言語で、コード署名証明書を提供したり、攻撃者に代わってマルウェアに署名したりすると主張する多数の脅威アクターとサービスを確認しました。例えば、Twitter ユーザーの「@ContiLeaks」によってリークされたチャットメッセージを分析したところ、Trickbot の操作に関与する脅威アクターが複数の脅威アクターからコード署名証明書を購入する事例が複数確認され、1つの証明書の価格は約 1,0003,000 USD であることが確認されています。

これらの広告のほとんどは EV コード署名証明書について言及していますが、WHQL によるドライバ署名に焦点を当てた議論も少数ですが確認されています。これらの議論のほとんどは、WHQL の制限によってもたらされた課題を嘆いていますが、私たちは、WHQL でドライバーに署名した経験を述べた少なくとも 1 人の攻撃者を観察し、また、オープンインターネット上で企業ビジネス向けの WHQL ドライバー署名サービスを宣伝する複数の Web サイトを確認しました。この活動で観測された署名付きペイロードを、特定されたサービスのいずれかと関連付けることはできませんが、攻撃者は、署名付きドライバマルウェアを入手するために、アンダーグラウンドフォーラムからサービスを取り込むか、商業サービスを悪用している可能性が高いと思われます。

悪意のある証明書に署名したドライバには、他の悪意のあるサンプルに署名したEV証明書に対応するprogramNameが含まれているパターンがあります。証明書は主にDigicertおよびGlobalsign経由で中国の顧客に発行されているようで、中国市場の証明書リセラーまたは署名サービスを悪用している可能性を示しています。

特定された異なる会社名と異なる開発環境から、Mandiantは、これらのマルウェアサンプルに攻撃者に代わって認証プロセスを通じて署名させたサービスプロバイダーが存在するのではないかと推測しています。しかし、残念ながら現時点では、この評価の信頼度は低くなっています。

ハンティングとブロッキング

証明署名はMicrosoftの正規のプログラムであり、生成されたドライバはMicrosoftの正規の証明書で署名されています。このため、MicrosoftとほとんどのEDRツールは、Microsoftの署名付きバイナリのロードを許可するため、実行時の検知は困難です。代わりに、組織は、Microsoft署名のバイナリに付与された匿名での信頼性の問題を克服するため、疑わしい活動やルートキットに似た活動に対して警告する行動検知に頼らざるを得ません。しかし一方で、プロアクティブな調査には、これらのファイルを検索する方法が数多くあります。

YARAルールと概要

M_Hunting_Signed_Driver_Attestation_1

OLE は、認証プロセスを通じて署名された任意のバイナリを識別するために、検知を実装することができます。このルールは、OLEの存在とMicrosoft Windows ハードウェア互換性発行者証明書のサブジェクトにマッチします。

M_Win_Hunting_CertEngine_Attestation_ProgramName_1

証明書プログラムの名前に含まれている特定された会社名を使って、潜在的に疑わしいサンプルを探し出すことができます。しかし、これらの証明書の性質上、この証明書を持つすべてのサンプルが悪意あるものであるとは限らず、単に過去に悪用されたことがあるだけで、さらなる調査が必要であることを理解しておく必要があります。

M_CertEngine_Malicious_Attestation_Signed_Driver

VirusTotalデータセットには、LiveHuntルールでアクセス可能な追加データがあります。これには、関連するサンドボックスの実行から得られるさまざまなタグやその他のメタデータが含まれます。この情報は、M_Hunting_Signed_Driver_Attestation_1ルールと悪意のあるカウントメタデータを組み合わせることで、悪意のある証明書署名バイナリの疑いのあるものを特定するために使用することができます。

M_Hunting_Win_ConventionEngine_PDB_Attestation_Multiple_1

Devilish Debug DetailsDefinitive Dossierに記載されているように、PDBパスはマルウェア内に存在する文字列を特定するために使用できます。しかし、これはマルウェアやマルウェア開発者に起因するものであり、証明書や署名プロセスによるものではないことを覚えておくことが重要です。

検出結果の一覧は「補足AYARA」をご覧ください。

証明書署名プロセスは、申請するハードウェアまたはソフトウェアベンダの身元を検証する責任を認証局に負わせるものです。 理論的には、認証局は合意された手順に従って、申請者の身元と、申請者がソフトウェアベンダを代表していることを確認しなければならないので、これは有効なプロセスです。しかし、このプロセスが悪用され、Microsoftによって署名されたマルウェアが入手されています。

これは今に始まったことではなく、GDataBitDefenderの両社は、2021年にMicrosoftが署名した悪質なドライバーに関するレポートを発表しています。"Microsoft signed a malicious Netfilter rootkit" "Digitally-Signed Rootkits are Back - A Look at FiveSys and Companions" では、このブログ記事で取り上げたのと同じ認証プロセスで署名された悪質なドライバについて取り上げています。

このブログ記事では、POORTRYと証明書署名プロセスに焦点を当てましたが、Mandiantは、他のマルウェアが証明書によって署名されていることを確認しています。TEMPLESHOTは、ドロッパー、バックドア、フィルタドライバ、保護ドライバから構成されるマルウェアファミリーです。MD5 48bf11dd6c22e241b745d3bb1d562ca1 を持つ TEMPLESHOT ドライバは、実際に観測されており、証明書による署名が行われていることが確認されています。

Signify python ライブラリを使用することで、Authenticode データの自動分析が非常に効率的になりました。また、Mandiant IntelligenceFLARE組織のアナリストの協力なしには、このレポートを完成することはできませんでした。ここに感謝を表します。

補足A: YARA

import "pe"

rule M_Hunting_Signed_Driver_Attestation_1

{

    meta:

        author = "Mandiant"

        date_created = "2022-10-20"

        description = "Find driver signed via Microsoft attestation signing only (no EV certificate signing outside of Microsoft Windows Hardware Compatibility Publisher)" //https://learn.microsoft.com/en-us/windows-hardware/drivers/dashboard/code-signing-attestation

    strings:

        $whql_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Windows Hardware Quality Labs (WHQL) crypto -- "szOID_WHQL_CRYPTO"

        $spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

        $spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

    condition:

        pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" and

        $whql_oid and

        $spc_sp_opus_info_oid and

        $spc_statement_type

}

import "pe"

rule M_Win_Hunting_CertEngine_Attestation_ProgramName_1

{

    meta:

        author = "Mandiant"

        description = "Find driver signed via Microsoft attestation signing only with one of the identified company names of interest."

    strings:

        $whql_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Windows Hardware Quality Labs (WHQL) crypto -- "szOID_WHQL_CRYPTO"

        $spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

        $spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

        $unicode1 = {59278FDE 7EB568A6 7F517EDC 79D16280 67099650 516C53F8}

        $unicode2 = {51 69 20 4c 69 6a 75 6e}

        $unicode3 = {4c 75 63 6b 20 42 69 67 67 65 72 20 54 65 63 68 6e 6f 6c 6f 67 79 20 43 6f 2e 2c 20 4c 74 64}

        $unicode4 = {58 69 6e 53 69 6e 67 20 4e 65 74 77 6f 72 6b 20 53 65 72 76 69 63 65 20 43 6f 2e 2c 20 4c 74 64}

        $unicode5 = {48 61 6e 67 7a 68 6f 75 20 53 68 75 6e 77 61 6e 67 20 54 65 63 68 6e 6f 6c 6f 67 79 20 43 6f 2e 2c 4c 74 64}

        $unicode6 = {54 41 20 54 72 69 75 6d 70 68 2d 41 64 6c 65 72 20 47 6d 62 48}

        $unicode7 = {798f 5dde 8d85 4eba}

        $unicode8 = {5317 4eac 5f18 9053 957f 5174 56fd 9645 8d38 6613 6709 9650 516c 53f8}

        $unicode9 = {798f 5efa 5965 521b 4e92 5a31 79d1 6280 6709 9650 516c 53f8}

        $unicode10 = {53a6 95e8 6052 4fe1 5353 8d8a 7f51 7edc 79d1 6280 6709 9650 516c 53f8}

    condition:       

        $whql_oid and

        $spc_sp_opus_info_oid and

        $spc_statement_type and

        pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" and

        (1 of ($unicode*))

}

import "vt"

import "pe"

rule M_CertEngine_Malicious_Attestation_Signed_Driver

{

    meta:

        author = "Mandiant"

        description = "Find driver signed via Microsoft attestation signing only and greater than 3 malicious hits in VirusTotal.”

    strings:

        $whql_oid = {2b0601040182370a030501} //OID 1.3.6.1.4.1.311.10.3.5.1, Windows Hardware Quality Labs (WHQL) crypto -- "szOID_WHQL_CRYPTO"

        $spc_statement_type = {2b060104018237020115} //OID 1.3.6.1.4.1.311.2.1.21, SPC_INDIVIDUAL_SP_KEY_PURPOSE_OBJID

        $spc_sp_opus_info_oid = {2b06010401823702010c} //OID 1.3.6.1.4.1.311.2.1.12, SPC_SP_OPUS_INFO_OBJID

    condition:

        for any tag in vt.metadata.tags : ( tag == "signed" ) and

        pe.signatures[0].subject == "/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Hardware Compatibility Publisher" and

        vt.metadata.analysis_stats.malicious > 3 and

        $whql_oid and

        $spc_sp_opus_info_oid and

        $spc_statement_type

}

rule M_Hunting_Win_ConventionEngine_PDB_Attestation_Multiple_1

{

    meta:

        author = "Mandiant"

        description = "Looking for PDB path strings that has been observed in malicious samples which were attestation signed"

    strings:

        $anchor = "RSDS"

        $pdb1 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}gamehacks.{0,250}boot_driver.{0,250}\.pdb\x00/ nocase

        $pdb2 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}MyDriver1.{0,250}wfp_vpn.{0,250}\.pdb\x00/ nocase

        $pdb3 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}FilDriverx64_win10.{0,250}\.pdb\x00/ nocase

        $pdb4 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RedDriver_win10.{0,250}\.pdb\x00/ nocase

        $pdb5 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}sellcode.{0,250}MyDriver.{0,250}\.pdb\x00/ nocase

        $pdb6 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}Users\\ljl11{0,250}\.pdb\x00/ nocase

        $pdb7 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}RkDriver64.{0,250}MyDriver1.{0,250}\.pdb\x00/ nocase

        $pdb8 = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\.{0,250}\\ApcHelper.{0,250}TSComputerManager.{0,250}\.pdb\x00/ nocase

    condition:

        (uint16(0) == 0x5A4D) and uint32(uint32(0x3C)) == 0x00004550 and filesize < 20MB and $anchor and (1 of ($pdb*))

}

補足B: Indicators of Interest

疑わしいプログラム名の値を持つ証明書署名バイナリ

この表はSignature Date(署名日)の順に並んでいます。署名日は、署名のタイムスタンプを含む認証された属性です。この日付でソートすることで、読者はprogramNameがどのように使用され、時間の経過とともに変化したかを見ることができます。

1つのサンプル(688c138fffbb4e7297289433c79d62f5)にはSignature Dateがなく、これは署名後にVMProtectを使用するなど、バイナリ改竄によるものと思われます。

MD5

Program Name

Signature Date

688c138fffbb4e7297289433c79d62f5

北京弘道际贸易有限公

N/A

0b4a0fe7db8400ef65ce7618177351cf

福建奥科技有限公

2021/07/09 11:35

6e3516775e7e009777dcdb7a314f1482

福建奥科技有限公

2021/07/19 07:39

ea5f6ab5666193f805d13a49009f0699

福建奥科技有限公

2021/07/20 06:43

63960dbc7d63767edb6e1e2dc6f0707b

福建奥科技有限公

2021/07/28 13:05

ddee86b84dcb72835b57b1d049e9e0cd

福建奥科技有限公

2021/07/29 09:25

19d99758b1f33b418cb008530b61a1e7

福建奥科技有限公

2021/07/29 10:02

f9aad310a5d5c80bbc61d10cc797e4f0

北京弘道际贸易有限公

2021/11/06 17:38

ff43f91f2465504e5e67d0b37d92ef18

恒信卓越网科技有限公

2021/12/30 06:12

45be5c0e7dfe37f88f1fa6c2fbb462c5

恒信卓越网科技有限公

2022/01/13 24:00

26d6833b1875b138ea34d6ab430cafcd

恒信卓越网科技有限公

2022/02/07 03:47

561bc6902367d9e43e27c5543e7a5818

恒信卓越网科技有限公

2022/02/09 11:35

929b293090bcc7900c1e8f9ba519e219

恒信卓越网科技有限公

2022/02/13 12:25

b500ee8d8cb045936d2996a1747bcded

恒信卓越网科技有限公

2022/02/14 24:25

42200c8422347f63b3edb45ea5aa9c45

恒信卓越网科技有限公

2022/02/14 12:25

48fc05c42549d0b3ec9e73bbb5be40dc

恒信卓越网科技有限公

2022/02/14 12:25

bf13a2f4e2deb62b7dee98a012e94d61

恒信卓越网科技有限公

2022/02/14 12:25

d66fc4e2f537566bb4d91cdea0ac64e5

恒信卓越网科技有限公

2022/02/14 12:25

de4b5043c82ab3b36b4ae73a2e96d969

恒信卓越网科技有限公

2022/02/14 12:25

cc29cf2294175315acbf33054151f3cd

恒信卓越网科技有限公

2022/02/15 06:07

6e730cf4ebcd166d26414378cab3a6d8

恒信卓越网科技有限公

2022/02/18 06:58

8e4d0f679b092296a2f74cf812907d05

恒信卓越网科技有限公

2022/02/18 06:58

f8ccabcbe08bbd2c8420f4d1cffcefd8

恒信卓越网科技有限公

2022/02/18 06:58

9f1d3b0fb49e063f4804aa60b7b708ac

恒信卓越网科技有限公

2022/02/18 08:23

2bbfb9cb4550109da5ae336d3d3dd984

恒信卓越网科技有限公

2022/02/23 03:55

42a417e54639c69f033f72bbafe6e09a

北京弘道际贸易有限公

2022/02/25 09:18

7ee0c884e7d282958c5b3a9e47f23e13

北京弘道际贸易有限公

2022/02/26 24:58

66c145233576766013688088b03103e3

恒信卓越网科技有限公

2022/03/08 07:16

1f929fd617471c4977b522c71b4c91ed

北京弘道际贸易有限公

2022/03/26 24:09

4a0f22286134a58d9d20f911a608f636

福州超人

2022/03/28 09:34

947ebc3f481a7b9ee3cf3a34d9830159

福州超人

2022/03/28 09:40

33b5485b35b33fd8ead5a38899522cce

福州超人

2022/03/28 10:20

721b40a0c2a0257443f7dcc2c697e28a

福州超人

2022/04/09 17:06

b44dfd8c5e7b0c8652d7a647dfe252e4

福州超人

2022/05/03 09:25

1a57c1d80018bfef1e243f9eba2955f2

北京弘道际贸易有限公

2022/05/09 01:18

ac2a1f2ae6b547619bef93dfadb48937

福州超人

2022/05/19 07:09

8ac6ef2475ec89d3709fc124573cb380

北京弘道际贸易有限公

2022/05/31 11:06

b34403502499741762912c7bfc9ff21f

Hangzhou Shunwang Technology Co.,Ltd

2022/06/13 08:25

734b3a6e6cbd1f53fbb693140d2c3049

北京弘道际贸易有限公

2022/06/13 08:45

c0471f78648643950217620f6e7e24cc

北京弘道际贸易有限公

2022/06/13 08:45

228f9f0a0466fba21ac085626020a8e1

Qi Lijun

2022/08/02 16:10

65a3f812ea031f4d53ba09f33c058ab6

Qi Lijun

2022/08/02 16:10

7d78b5773845c5189ca09227d27a9d5a

Qi Lijun

2022/08/03 01:56

e7ff38a94ad765eb305fc7f0837f5913

Qi Lijun

2022/08/03 01:58

4e1f656001af3677856f664e96282a6f

连纵梦网科技有限公

2022/08/09 07:20

b164daf106566f444dfb280d743bc2f7

连纵梦网科技有限公

2022/08/17 10:48

dc564bac7258e16627b9de0ce39fae25

连纵梦网科技有限公

2022/08/19 08:03

22949977ce5cd96ba674b403a9c81285

连纵梦网科技有限公

2022/08/20 09:37

ee6b1a79cb6641aa44c762ee90786fe0

连纵梦网科技有限公

2022/08/21 01:43

f9844524fb0009e5b784c21c7bad4220

连纵梦网科技有限公

2022/08/22 14:48

acac842a46f3501fe407b1db1b247a0b

连纵梦网科技有限公

2022/08/23 04:40

7f9309f5e4defec132b622fadbcad511

连纵梦网科技有限公

2022/08/24 07:33

7ba744b584e28190eb03b9ecd1bb9374

XinSing Network Service Co., Ltd

2022/09/07 02:24

6fcf56f6ca3210ec397e55f727353c4a

连纵梦网科技有限公

2022/09/15 11:49

bd25be845c151370ff177509d95d5add

连纵梦网科技有限公

2022/09/19 24:33

1f2888e57fdd6aee466962c25ba7d62d

连纵梦网科技有限公

2022/10/01 11:43

909f3fc221acbe999483c87d9ead024a

Luck Bigger Technology Co., Ltd

2022/10/19 13:15

署名付きPOORTRYサンプル

次の表は、署名付きPOORTRYのサンプルです。

Compile Time

Signing Status

Signing Time

PDB path

MD5

Filename

Serial

Common Name

20220602 10:09:08

Revoked

20220811 13:27:00

D:\KApcHelper\x64\
Release\KApcHelper.pdb

10f3679384a03cb4
87bda9621ceb5f90

prokiller64.sys

62:7d:fd:f7:3a:14:55:de:
51:43:a2:70:79:9e:6b:7b

Zhuhai liancheng Technology Co., Ltd.

20220602 10:09:08

Revoked

 

D:\KApcHelper\x64\
Release\KApcHelper.pdb

04a88f5974caa621
cee18f34300fc08a

gftkyj64.sys

62:7d:fd:f7:3a:14:55:de:
51:43:a2:70:79:9e:6b:7b

Zhuhai liancheng Technology Co., Ltd.

20220602 10:09:08

 

20220915 15:49:00

 

6fcf56f6ca3210ec
397e55f727353c4a

 

33:00:00:00:57:ee:4d:65:9a:9
2:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

20220606 15:14:46

Expired

 

D:\KApcHelper\x64\
Release\KApcHelper.pdb

0f16a43f79890346
41fd2de3eb268bf1

KApcHelper_x64.sys

43:bb:43:7d:60:98:66:28:
6d:d8:39:e1:d0:03:09:f5

NVIDIA Corporation

20220820 15:19:01

 

20220821 05:43:00

 

ee6b1a79cb6641aa
44c762ee90786fe0

NodeDriver.sys

33:00:00:00:57:ee:4d:65:9a:9
2:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

20221002 19:48:02

 

20221019 17:15:00

 

909f3fc221acbe99
9483c87d9ead024a

LcTkA.sys

33:00:00:00:57:ee:4d:65:9a:9
2:3e:7c:10:00:00:00:00:00:57

Microsoft Windows Hardware Compatibility Publisher

拡張バリデーション(EV)署名付きサンプル

次の表は、Organization Nameが大连纵网梦科技有限公司のEV証明書による署名のサンプルです。

Compile Time

Signed Time

MD5

Family

Filename

Certificate Serial

Certificate Issuer Common Name

Organization Name

19700101 00:00:00

20201006 16:26:00

05a56a88f34718ca
bd078dfd6b180ed0

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20201128 18:12:00

2406150783d3ec5d
e13c2654db1a13d5

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20210226 22:11:00

29506adae5c1e97d
e49e3a0d3cd974d4

Fast Reverse Proxy

%home%\unpack\
sakuralauncher_v2.0.1.2
\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20220219 13:29:00

48c1288cd35504de
6f4bd97ec02decb1

Fast Reverse Proxy

svchost.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20200820 12:34:00

578e70a8a7c1972b
bc35c3e14e53cbee

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20201128 18:13:00

6216fba5cf44aa99
a73ca919301142e9

Fast Reverse Proxy

 

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20220219 13:29:00

69fa8946c326d4b6
6a371608d8ffbe5e

Fast Reverse Proxy

frpc_windows_amd64.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20200802 07:11:00

6e4e37641e24edc8
9cfa3e999962ea34

Fast Reverse Proxy

frpc.exe

0c:25:f1:f2:a8:d4:a2:93:
21:e8:28:6e:ed:50:e3:e2

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20210605 19:09:00

8a930742d1da0fcf
e5492d4eb817727c

Fast Reverse Proxy

c:\program files\sakurafrplauncher
\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

20211220 07:37:56

 

8fbad6e5aa15857f
761e6a7a75967e85

SOGU Launcher

powerdvd18.exe

03:25:0b:78:25:67:56:fc:
10:db:c6:7a:22:52:7b:44

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20201224 19:02:00

976bac6cfb21288b
4542d5afe7ce7be7

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20210605 19:09:00

aaeedaa5880e38dc
63a5724cf18baf13

Fast Reverse Proxy

frpc_windows_386.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

20200704 03:53:04

20200704 08:13:00

ab5d85079e299ac4
9fcc9f12516243de

SOGU Launcher

SmadavMain.exe

0c:59:d4:65:80:f0:39:af:
2c:4a:b6:ba:0f:fe:d1:97

DigiCert High Assurance Code Signing CA-1

连纵梦网科技有限公司

20200522 10:23:03

20200523 06:16:00

c43de22826a424b2
d24cf1b4b694ce07

SOGU Launcher

AdobeHelp.exe

0c:59:d4:65:80:f0:39:af:
2c:4a:b6:ba:0f:fe:d1:97

DigiCert High Assurance Code Signing CA-1

连纵梦网科技有限公司

19700101 00:00:00

20201006 16:28:00

d312a6aeffec3cff
78e9fad141d3aaba

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20210321 09:12:00

d36084aad079ca8d
91c2985eca80327b

Fast Reverse Proxy

c:\program files\sakurafrplauncher
\frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

19700101 00:00:00

20201224 19:02:00

e086d7d5a5657800
a0d7e9c144fac16d

Fast Reverse Proxy

frpc.exe

01:15:3e:7a:3c:8d:c5:0b:
3d:23:c8:ba:31:d3:70:52

DigiCert EV Code Signing CA

连纵梦网科技有限公司

疑わしい証明署名付きサンプル

以下のMD5のリストは、多くのセキュリティソリューションによって疑わしいと判断された証明署名付きバイナリです。これらのバイナリは、直接的に有害なものではありませんが、環境中に存在する場合は、調査を行う必要があります。

0080fde587d6aedccb08db1317360d32

ff985a86bfa60576a8e86b05603ac5fa

b00c95692923b8c1e2d45c4a64a5ff05

00a7538086c266e8bcf8a0b1c2b6a2e4

62f289f3b55b0886c419a5077d11eb3c

b0fea98c70e510f88b57f45a3f516326

00dd476fa04da76fc2ed37cfdde59875

63960dbc7d63767edb6e1e2dc6f0707b

b164daf106566f444dfb280d743bc2f7

024e92733def0b1180f0ee54b81e5836

63d877650a3219f5991fd66bafc46bc5

b34403502499741762912c7bfc9ff21f

03710450e5bebd207bbe471c4685dc49

64a81238d20dcbd4b21abb609040f698

b44dfd8c5e7b0c8652d7a647dfe252e4

07bac50f875f09ad644827c8918e6837

66c145233576766013688088b03103e3

b500ee8d8cb045936d2996a1747bcded

07c4309678ce891fdd868e10c6e7aad4

66d2860a078fb11832ceef28b23481c2

b5c73db8e70d6f46ad9b693f3ce060d2

0ae78b90151ec2b0457bb0c2675048f5

67ff9de8e72c4dfdf4b4404abf253e7e

b7239e06bcbe6e2c7bb2f7a859cbf4f7

0b4a0fe7db8400ef65ce7618177351cf

688c138fffbb4e7297289433c79d62f5

b83d8761748abb032ab5ae75519eaf71

0d0ffa28823276732a9e4dea5c25cc34

688ca3c12b63fec9f921334d24cf6f78

b849deae20052d72c3c623660fa97e64

14a1d3e07520df607635a3356877f5b9

6916b29893f618ba76b36bd8c297b7ac

b8783155d6be5bb3a6d75edaa7ae7f71

14e6507566a404e3158b3e36314bb3a1

6a066d2be83cf83f343d0550b0b8f206

b9d40581ae936662c37f2edc979d7e99

1548b70d8581cbde703b1fb50b48a6a8

6a23d752fbc30e603bbb050a83a580eb

ba9907be3a0752369082199ed126f8d8

163118c947aacd0978ad3e019c7d121f

6a893aab7b79b73da7a049c2707aabf1

bb46eb379caae3b05e32d3089c0dd6d0

179ca82f2e523be47df0dcebe808408d

6b0a733568d80be653fc9a568cdd88c5

bd25be845c151370ff177509d95d5add

198877a8ce99289f7281b1475c13ba9f

6c3180163e4a5371647e734c7c817de5

bf13a2f4e2deb62b7dee98a012e94d61

19d14bf80b3dc4e5b774b362f079a102

6c7479b5bb27f250fa32331b6457883a

c0471f78648643950217620f6e7e24cc

19d99758b1f33b418cb008530b61a1e7

6d32d2d7a44584c92115ac2a2c3ba3af

c0debd2cfb62fc2c56bfd4104b1ff760

1e63ec5b89edb805956f347b5b5cfaae

6e1bb443369973923c8eced16fcbd5cf

c12d465743b9c167fc819b7872cd014c

1f2888e57fdd6aee466962c25ba7d62d

6e3516775e7e009777dcdb7a314f1482

c35e6a0e1aef31ed9855499df4317acd

1f46065ac9479253e4babc42b72bc4a8

6e730cf4ebcd166d26414378cab3a6d8

c5120095bf08655407c2f0215d10ac1d

1f929fd617471c4977b522c71b4c91ed

6fcf56f6ca3210ec397e55f727353c4a

c77e931a6388b2040cc7c5a1a0f56d93

207cfc647647419adcfcc44c6059a1d1

7182ed3da406ba19bb9ffd8e4948d858

c7850060cfe574a2ef278ba46a136a5e

20f94c9cfc3cf012bf90546985f9f3c4

721b40a0c2a0257443f7dcc2c697e28a

c812fa7c628c3e19a3da5910acf6206e

22519936cd9e8c7d524b0590826c3e6e

72dbbd1dd61c6b0c2571e83f2c3d1825

c8495649615bf1b9f839d7f357d6d02f

228f9f0a0466fba21ac085626020a8e1

734b3a6e6cbd1f53fbb693140d2c3049

cadc3e4090aed708526f0d6016aba7fd

22949977ce5cd96ba674b403a9c81285

761939b0e442821985ab3281f97e6ceb

cb68b7979bbb55bbde0a8c60fe3e5184

232b0156173a9f8f5db6b65aa91e923b

76c6ae0157ea7f41f55ed7e7d241f910

cb6a416204b57470fab0b944d7b59756

23cebc6b0eb76262d796577895f418d2

7737e5e40a439899f326279b7face22c

cbc3d1c88a5d0491b7b50bb77ada93fe

24eb9eef69475e4980a555898b25f0c1

77392be5eae901ae371c37861aa88589

cc29cf2294175315acbf33054151f3cd

262c92f2437c80adf232ef147ca2d734

787782e0395b3d5e32cda6fdea2faba0

cd4b6d8bb762c2281c9b1142588ede4c

267c30e484322ad31fa9e1374d6653f0

79ebae9ab3f3b59c754ab1cc82bf7e95

ce455358bf71c88b45fcb5789100969a

26caf3361ec353593f51ebbd3fe5bbde

7a5896673b81beb5589b512c6d781a85

ce4d3a69331ff87920c903a4e4091904

26d6833b1875b138ea34d6ab430cafcd

7a9df5c46c7c65b807f78c6c0bb2c38c

ce658935ef6e223893121dce22908655

2739311a6bb1a7b0b88ff24bf603a54d

7b6e3fe75c5ae68d7d5a3ae7b00097e0

ce6ef4dc1dd54baddaa51eaf594a496a

27bb03f2659cd95bf9e7af899ee32728

7ba744b584e28190eb03b9ecd1bb9374

d11b9a4664ea03dfe3e8e1d737cd15f8

286b10451fe364310f4a7baeb0e94a3f

7c6c1b7e6378b4c0bcceee84e0e26fde

d22a56e31b4e1fd5b06d46fa56f59151

2a12b959c55f4a2d34f96e45e2417a71

7cb012393114dfb35d60e70166a97986

d27fac80339ad1f2ee86374884996c52

2aa8dc7a5dff7817ce0a9c7cf30847bf

7d78b5773845c5189ca09227d27a9d5a

d2ed678542a5d1db494dc47359861467

2bec13be352db14fc9665ddf128deb8c

7dd800f100a049a72983dd75f5286d70

d47494b717c82eca8278dea610e1265d

2cc14f20cf6847a2084f2c9cc0622015

7e0a6a234a64350e684544e272c7fc41

d60d8f3f12550dca4ba07ff61263b67f

2d84c734d813af49cec3c3aa4aa4e6e3

7e2e29707e7a601e8ea7f3e2f4d672a2

d60e235b769cadbc7e83090b79b73ed3

2e323c67a8781531a294684f7d2761ec

7e7002dc10c62fb674a3184f4ad6688a

d617c9a86328921a8caf924575faf2a2

2f6daca66d2f64c7b1b6f8693ea09cb7

7ee0b286003dc9e8006c22dcd70663f0

d66fc4e2f537566bb4d91cdea0ac64e5

309f16f50e9074ce797eb38eda279298

7f9309f5e4defec132b622fadbcad511

d6b2947d8ff985fa84d697cc6cfdb7ff

331113d1d54a3610f9c9bd72fc783721

811f8d76ff00c9eda27b51a0fb2b0d39

d6e506a1e0417c4507a5314529d84e34

33b5485b35b33fd8ead5a38899522cce

822bbdec4e5630c3170ee05119dcfb5c

d77209a21352486435d85e339596eeae

3452586b669e12c1c4ee9db3c1006018

8264b3bdf46c0ece4f66151a613baed5

d87f08d1e50f2a3423813bf161b40859

35c95b6b5f4a6a0bda56276846dae17b

832fe73a91993b387f9a49fafb9d4ea7

dc170d9bba14b0421c2514465055a93f

35deaa9d004714dc6ef9661b91889148

84ce2a917e3d4aefcfc7d17e4a840a99

dc564bac7258e16627b9de0ce39fae25

3608b3a24736dea4bf24a8ac5ae00e30

85063d67203b91bef9772446a1723021

dd1a5bd34f8cfa56e439c6fb275356d6

37d4ba16136986bfded2b6fc698abf02

860f5812d65dc157a59c14e57bc0eaaf

ddee86b84dcb72835b57b1d049e9e0cd

395ea8b7d0f257850a3a04a1484bac4d

8986b5b6013cfb2bd3e6c8d22c453390

de4b5043c82ab3b36b4ae73a2e96d969

398384a6cf2b7e26947d2e0acbfeeda5

8ac6ef2475ec89d3709fc124573cb380

e051141b1dcb9e7f889fea7c8b1d6ba5

39ee31f03fe1bb93d47f560f73deffa9

8af6a129902a594ddaceafba38b7c060

e0e0c46ba4f969919e2879717c60ef2a

3d4b685dcaebc5bba5f9421572a4ab91

8b423e0395ba6419fcedc0701327c97c

e2465ea5c2d5dac4ae1b8d50da1d7cce

3db8146544ee26866a8e99bacb11188c

8d38a092ae5a3511bedadb7243a84409

e2c146a2522e4f40e5036c3fe12c3560

3ecaf3ba4e93916714cc43320f6f2c58

8e4d0f679b092296a2f74cf812907d05

e30830c05ed3d2a3178a3678f3169bec

3fd815ebb7d2ab2b62cff3c777b51e30

8fc8c6e1b2a1047752f60549878fb55f

e5f62ef06b0dd656e1e47913f01f9f8a

4070a8b16f318d108be0984e628421ad

909f3fc221acbe999483c87d9ead024a

e6960ae657786979493da1786191bcf4

40fda9a3c1be41be414f3795b25647f5

90affc996a2932cb0fec4e31cd673ae9

e777e5a8d2ba97c82128f04272e7841c

415240633837ebcbd80e080ba99c03a9

90b9a4328c4f712815760f9da49bcb6a

e7ff38a94ad765eb305fc7f0837f5913

42200c8422347f63b3edb45ea5aa9c45

913d50851abf337abc3c73f2d4e7fb34

ea033ee6df904d863448ffef6386b6ae

42a417e54639c69f033f72bbafe6e09a

929b293090bcc7900c1e8f9ba519e219

ea45419d992c15002c93067840568121

4349378822e2316f18784c10c7ca08a1

934d0cda4cba428e9b75ff16d5f4b0b1

ea5f6ab5666193f805d13a49009f0699

45991757d4ca2dab9e81f2fcbbc1ae23

93c5faf90bc889963f10c608cbde5a14

ee3bad1f5508e2129e0b423b009383e3

45be5c0e7dfe37f88f1fa6c2fbb462c5

947ebc3f481a7b9ee3cf3a34d9830159

ee6b1a79cb6641aa44c762ee90786fe0

467e60b9a0d1153057e0cfd0e721e198

95a04866e6afb8e9b0426f5890681f9a

f07506c30237c96e49eecafa0e5a4ed4

48190fd615dcea5c6679b8e30a8bfec0

9885d56d64ac2391a43f02abb2202181

f111bd9b8e55f60f909649820e116430

486b1afce3484a784a1662513ca1272a

9a8323bc7187441a0d85b9a2e8f580e3

f35a8a8f36c13769b9e9fff05fa4f720

48bf11dd6c22e241b745d3bb1d562ca1

9c4034691f6508e2361b6fca890671f9

f4ee6bee04b2ed18024e3a64a0d58385

48fc05c42549d0b3ec9e73bbb5be40dc

9d1424c87d89095e3cd6785adb54d2ec

f59a1409ce773658e72ad73424841890

4a0f22286134a58d9d20f911a608f636

9dabf30a780794200cd068b145730317

f783277840bbd2023879a87d0788f36e

4b2e59a821589ab091a63770f4a658ed

9e91e55c89f9c17c0a2acaf4376cd72b

f78915cbf89d8749a0a4ab18a2b182bd

4d4c17d8b52cd89da0b17cc9653b2010

9f1d60d3cddea7f7558fad0217759094

f8ccabcbe08bbd2c8420f4d1cffcefd8

4d947e4163e8aeafbfc626eb033bc665

a0fdc4543687a1b341b365d6dd16551c

f9844524fb0009e5b784c21c7bad4220

4e1f656001af3677856f664e96282a6f

a2ee1cc9e80390ca248863004adbde60

f9aad310a5d5c80bbc61d10cc797e4f0

4e8d5c44bfdeffd0168f8a05f6a04e8b

a2f3bce86beef23aede69396dcf7e184

fa00cc96c5bea2979a59d0da0d22c83d

4f5c7367f2ebae0097b6f2f1bebd19b6

a55cb8be2887e99b4f662fc1ae08d265

fa914061f5a40b324454d3fb9fc85ca5

508d42f26f8bd562728e6fca866e05eb

a7251aad1e81c6194b34dabf6edd6b4a

faa5806826ff1ba749b70de0e14835c3

50d13758b811c794bc13769ee3b42e85

a9541530619a3ac2615b92603b705fe6

fbd9ba2b8b2d677d41c30a01c02cfd01

52494f624378ef6ee298f0fc73082d0e

aba1be25da0691761f593725e9c067e5

fd3b7234419fafc9bdd533f48896ed73

52fc9ec7a5c177fe27fb00b6c2c5ff09

ac2a1f2ae6b547619bef93dfadb48937

fd4cee1c7b8167f25a8b4b864ede3c5d

548d48b658305ffb77cc814ea080b542

ac7f0fcb6040eb47ea9855d418c32510

fdb6dae1e8c182089fdb86996436330c

561bc6902367d9e43e27c5543e7a5818

acac842a46f3501fe407b1db1b247a0b

fe2f8e46ae540d7299c61ba083d52399

5800a88d39fdf63e5a43bfcc6700d907

adab615712eac2719691d01b69254f29

fe7ecd399eec7036a63f0b7eb5ebcfb1

5b281df4aaa915f660e075dc944a02c2

add02792cfff7b19b8e526a247acb0ba

ff43f91f2465504e5e67d0b37d92ef18

5e5d9971c90287a6aa905e54b2a21b1c

ae2f3e2412925a767e372c9c0ccf7ced

 

補足CPOORTRY証明書の詳細

以下の証明書の詳細は、POORTRYサンプルに署名された証明書から抜粋したものです。ただし、これは正規の証明署名Microsoftの証明書であることに注意してください。なお、簡略化のため、いくつかの詳細は削除しています。

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            33:00:00:00:57:ee:4d:65:9a:92:3e:7c:10:00:00:00:00:00:57

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C = US, ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Microsoft Windows Third Party Component CA 2014

        Validity

            Not Before: Jun  7 18:08:06 2022 GMT

            Not After : Jun  1 18:08:06 2023 GMT

        Subject: C = US, ST = Washington, L = Redmond, O = Microsoft Corporation, CN = Microsoft Windows Hardware Compatibility Publisher

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                RSA Public-Key: (2048 bit)

               Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Extended Key Usage:

                1.3.6.1.4.1.311.10.3.5, 1.3.6.1.4.1.311.10.3.5.1, Code Signing

            X509v3 Subject Key Identifier:

                41:8F:FB:78:B4:1F:1F:7F:19:8E:36:12:08:D0:22:76:6B:58:FA:29

            X509v3 Subject Alternative Name:

                DirName:/OU=Microsoft Operations Puerto Rico/serialNumber=232147+470769

            X509v3 Authority Key Identifier:

                keyid:C8:3A:9C:A7:4A:C3:23:F2:25:7E:B9:DA:AB:29:53:0E:54:00:C3:A1

 

※本ブログは、2022年12月13日に公開されたブログ「I Solemnly Swear My Driver Is Up to No Good: Hunting for Attestation Signed Malware」の日本語抄訳版です。