Подделываем электронную подпись Microsoft Corporation

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 275
#1
Скажу сразу,это всего лишь визуальная маскировка.В свойствах файла появится дополнительная вкладка с "цифровой подписью",но для жертвы этого может быть достаточно.Итак что нам нужно для производства и установки эл. подписи (весь софт в архиве,все утилиты майкрософтовские):
Cert2spc.exe (средство проверки сертификата издателя программного обеспечения)
Makecert.exe (средство создания сертификатов)
PVKIMPRT.EXE
signtool.exe (программа подписывания)
capicom.dll
В статьях выше видно,что ими пользуются через командную строку и дабы упростить эту процедуру,мы применим вот такой батник:
CODE:
makecert -n "CN=Microsoft Corporation" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv sert.pvk sert.cer -ss Root -sr localMachine
cert2spc.exe sert.cer sert.spc
PVKIMPRT.EXE -pfx sert.spc sert.pvk
signtool.exe sign /v /f sert.pfx /p XXX /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v program.exe
pause
Где значение p XXX (в последней строчке),это наш пароль.Вместо XXX вписываем любое значение и вводим его в дальнейшем при запросе проги для подписывания.Последовательность действий:
1.Переименовываем файл,который нужно подписать, в program.exe
2.Все утилиты,батник и наш файл помещаем в одну папку.
3.Запускаем батник.Видим:

Снимок.PNG
Везде вводим наш пароль (который прописан в батнике) и подтверждаем нажатием "ОК".
Снимвок.PNG

Сныыыимок.PNG
Если всё прошло успешно,откроется мастер создания сертификатов:
Снимыыок.PNG
Жмём "Далее" и выбираем пункт "Да,экспортировать закрытый ключ"
Сникккмок.PNG
Все настройки можно оставить по умолчанию:
Снимоыыыык.PNG
Последнее подтверждение пароля
Сни1212мок.PNG
Прописываем имя экспортируемого файла,в поле "Имя файла" пишем sert.
Сн5656имок.PNG
Всё.Последне диалоговое окно:
Сним567899ок.PNG
Вид консоли при успешном завершении:
Снимо098776к.PNG
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 275
#2
Вот и всё.Теперь в свойствах файла появилась дополнительная вкладка :
Снимок.PNG

Но если внимательно просмотреть её сведения,то будет ясно,что дело нечисто.
На основной системе,то есть "восьмёрке",мне не удалось подписать программу.Выдавало ошибку отсутствия capicom.dll (или типа того).
Снимок1.PNG
Поэтому всё делал на "экспихе".
В архиве сборник утилит и батник+БОНУС винлок с цифровой подписью-Microsoft Fixit (пароль для разблокировки test).Пароль на архив:111
Но повторяю,это всего лишь маскировка и никакой антивирь не клюнет на такую подпись.Но чисто визуально,ели дотошно не изучать,вполне покатит.
1.gif
Да,кстати,так можно сделать не только подпись Майкрософт,а и любых других компаний.Только нужно прописать в батнике другие данные .
Основа статьи (можно сказать копипаст) взята отсюда.
 

Вложения

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 275
#3
Интересно,как небольшое редактирование исходников влияет на показание VT.Вот отчёт по стандартному винлоку без всяких изменений.Далее,добавим к винлоку какую нибудь надпись на фейс и сменим родную дельфовскую иконку (ну и название для удобства)-смотрим отчёт.А теперь добавим цифровую подпись и описание программы в "Свойствах"-отчёт VT.
Вывод:лишняя мишура в данном случае палит файл ещё больше.
Во вложении тот же самый винлок,но с добавленной надписью.В итоге практически все антивири сигнатурно потеряли нюх.Пасс на архив:111
Пасс на разблокировку:test
 

Вложения

ivdic

Житель форума
Форумчанин
Регистрация
24.01.2018
Сообщения
4
Telegram
#4
как программы типа удаленного доступа amyadmin и прочие при установку на ПК прописывают себя в исключения антивируса?
 

ivdic

Житель форума
Форумчанин
Регистрация
24.01.2018
Сообщения
4
Telegram
#7
какой толк от SigThief если подпись получается невалидная? тут только использовать вычисление коллизий чтобы кэш совпала с оригиналом, что не так просто..https://xakep.ru/2012/11/22/light-fake-checksum/
поэтому метод с самоподписным сертификатом более действенный

тесты показали что касперский не удалил такой файл (подписанный самоподписаным сертификатом) и не нашел его опасным...но запустится не дал :-(
 
Последнее редактирование:

xrahiel

Житель форума
Форумчанин
Регистрация
17.03.2015
Сообщения
14
Репутация
13
#8
какой толк от SigThief если подпись получается невалидная? тут только использовать вычисление коллизий чтобы кэш совпала с оригиналом, что не так просто..https://xakep.ru/2012/11/22/light-fake-checksum/
поэтому метод с самоподписным сертификатом более действенный
для обхода алерта делают в хроме.
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
632
Репутация
211
Jabber
Telegram
#10
Вверх