Rootkit/Loader.e X2

00006666

神龟Turmi 发表于 2024-4-4 23:49
我也看到了 很奇怪
我去多上报几家安全厂商让他们联系微软吧 个人联系微软太不靠谱了
https://forums.m ...

但是这种已经是无效签名了，安全厂商大概也不会重视

ANY.LNK

神龟Turmi 发表于 2024-4-4 23:49
我也看到了 很奇怪
我去多上报几家安全厂商让他们联系微软吧 个人联系微软太不靠谱了
https://forums.m ...

按这里的说法https://learn.microsoft.com/zh-cn/windows-hardware/drivers/dashboard/code-signing-validate


这确实是个微软验证过了的驱动程序

但时间戳的问题……或许与https://learn.microsoft.com/en-u ... e-submission-update中提到的发布日期/创建日期相关？

总之，最好的方法还是去https://go.microsoft.com/fwlink/?LinkID=828002（使用方法：https://learn.microsoft.com/zh-c ... re-program-register）自己尝试提交验证一下

wwwab

这批样本的签名一直都很奇怪

VirusTotal从头到尾一直都没有承认过这批签名的有效性


而且写的是X509 Certificates

正常的WHQL签名应该是这样：

在VirusTotal上面有效的签名好像都是有Signers栏的，没有Signers栏只有X509 Certificates栏的，一般都是套用的无效签名

但是似乎在有些系统中，这批签名好像是有效的，而且ANY.LNK在5楼说

不知道是微软意识到这个问题了还是单纯的签名过期，最近这4个驱动的whql签名都是无效的

也就是说，之前可能是有效的，后来可能是被微软修复了？



所以很奇怪，似乎可能是通过某种无效签名的方式使一部分系统认为签名有效？

@ANY.LNK @神龟Turmi @00006666

wwwab

神龟Turmi 发表于 2024-4-4 23:49
我也看到了 很奇怪
我去多上报几家安全厂商让他们联系微软吧 个人联系微软太不靠谱了
https://forums.m ...

说实话，这批样本Sophos已经分析了十几天，快半个月了

确认已经转发给实验室，3.22


申请延长24h，3.25


申请延长一个星期，3.27


申请延长到本周末，4.3



@ANY.LNK @anthonyqian

ANY.LNK

wwwab 发表于 2024-4-5 09:19
这批样本的签名一直都很奇怪

VirusTotal从头到尾一直都没有承认过这批签名的有效性

在几周前刚拿到样本的时候操作系统还认为是有效签名，最近就失效了。不知道是不是微软为了减少滥签问题所以故意不给时间戳了

wwwab

ANY.LNK 发表于 2024-4-5 09:45
在几周前刚拿到样本的时候操作系统还认为是有效签名，最近就失效了。不知道是不是微软为了减少滥签问题所 ...

我清晰的记得，我第一次捕获到这批Rootkit并上传VirusTotal的时候，VirusTotal就已经不认为这是一个有效签名了，当时显示的和现在一样，就只有X509 Certificates，并且写的是File not signed，但是一部分真实操作系统，还有包括360显示的和微步云沙箱显示的，似乎都认为签名有效。

00006666

wwwab 发表于 2024-4-5 09:48
我清晰的记得，我第一次捕获到这批Rootkit并上传VirusTotal的时候，VirusTotal就已经不认为这是一个有效 ...

它只是没有时间戳，只要打了有效期内的时间戳，就会显示有效签名，时间戳可以让签名在过期后保持有效

00006666

wwwab 发表于 2024-4-5 09:19
这批样本的签名一直都很奇怪

VirusTotal从头到尾一直都没有承认过这批签名的有效性

VT可能是不认没有时间戳的WHQL签名，但是操作系统会认，直到超出有效期。

ANY.LNK

wwwab 发表于 2024-4-5 09:38
说实话，这批样本Sophos已经分析了十几天，快半个月了

确认已经转发给实验室，3.22

微软的

We are working on the issue; we will update you as soon as with the same.

Thank you for contacting Microsoft!

也就持续了两个小时不到就变成了

We have reviewed the files and added malware detections for them to the next definition update. The latest definition information is available here: https://docs.microsoft.com/micro ... -defender-antivirus

Thank you for contacting Microsoft.

入库速度也缩短到了一天内

也许需要附上已有的分析报告？（注：不建议用论坛的链接，站外人看不到图片）

wwwab

ANY.LNK 发表于 2024-4-5 10:20
微软的

也就持续了两个小时不到就变成了

我附了的，我给 Microsoft Bitdefender Sophos Fortinet 上报的时候直接拉了一份火绒报告网页的webarchive发过去的，加上VirusTotal上面我也一直都在打标签加集合加关联，所以我这边微软一开始才这么快Malware的





（然后 Bitdefender 才添加了 Trojan.Agent.GKDH 和 Rootkit.Agent.AJLQ）

但是SophosLab一直都比较认真

我对结果的延迟表示歉意，因为我们仍在对提交的文章进行更多的测试。

我们正在与Sophos实验室密切协调您的情况，如果测试已经完成，我们将在本周末向您提供反馈。

他们似乎想要根据火绒的报告从头开始分析

他们有一次一个一个阶段的载荷分析过去回复给我的，然后每次都要问我什么样本来源之类的一大堆问题以及一大堆东西：