Campagnes Dridex - documents Microsoft Word & Excel piégés

Répondre
Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Campagnes Dridex - documents Microsoft Word & Excel piégés

Message par ѠOOT » 18 juin 2015 20:34

Bonjour,

Depuis plusieurs jours, la France comme d'autres pays est sévèrement arrosée de pourriels qui contiennent en pièce jointe des documents Microsoft Word & Excel piégés par des macros malveillantes qui font télécharger et exécuter silencieusement Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires. Ce n'est pas la première fois et ce ne sera pas la dernière ; déjà en février 2015, j'abordais le sujet "Documents malveillants : macros-commandes VBA + PowerShell" ; les mois suivants plusieurs alertes avaient été émises. ( France : recrudescence des attaques par macros malveillantes ).

Le 15 juin 2015, le CERT-FR a publié un bulletin d'information ( section 2 ) dans lequel est pointé un taux de blocage par passerelles antispam relativement faible. "Les formats MIME HTML & XML ont l'avantage pour les attaquants d'être souvent moins bien détectés par les antivirus." Vraiment? Entre nous si c'est le cas, remplacez immédiatement votre solution de sécurité.

Dridex n'est pas le seul à utiliser cette méthode, Dyre / Dyreza, un programme également spécialisé dans le vol de données bancaires, utilise aussi les documents piégés avec macros. Dyre est généralement distribué par Upatre. Celui-ci est encore plus fourbe du fait qu'il soit capable d'infecter les relations de confiance en usurpant leurs identités. La victime devient à son tour "expéditeur" des futurs courriels piégés.

"Une méthode particulièrement perfide est notamment utilisée pour propager ce maliciel. Lorsqu'une machine est infectée, des e-mails contenant le maliciel seront envoyés à travers le compte de la victime et à son nom, à tous ses contacts. Ainsi, l'e-mail contenant une pièce jointe malicieuse atteint-il l'ensemble des contacts d'une personne ou entreprise. Etant donné que ces derniers connaissent l'expéditeur de l'e-mail et lui font confiance, il y a de fortes chances pour que ces personnes n'ouvrent la pièce jointe, soient infectées, puis mettent par la suite en danger leurs propres connaissances ou clients."
( Suisse : MELANI - Alerte : propagation massive )

Image

Cette technique engendre un cercle vicieux et c'est ce qui explique en partie pourquoi il a déjà occasionné de sérieux dommages. ( Rapport IBM : The Dyre wolf: Attacks on corporate banking accounts )

Concernant Dridex, jusqu'ici je n'ai pas écrit grand chose sur ce forum car c'est un sujet bien connu et assez médiatisé. Ma seule contribution porte sur une rectification autour d'une information erronée concernant de possibles "piratages de routeur". Aujourd'hui, ce qui me pousse à ouvrir le sujet c'est avant tout de relayer les alertes et promouvoir de nouveaux outils qui peuvent s'avérer utiles.

L'outil de CERT LEXSI permet de : vérifier, par rapport à des marqueurs, si une machine est infectée par DRIDEX ( lire les explications d'usage ). Pour les Administrateurs, un script PowerShell dridex.ps1 à exécuter sur tous les postes infectés est également disponible. En cas de doutes, vérifiez vos machines. Ces cas sont nombreux sur les forums d'entre-aide ; dernièrement sur Malekal.com : Suis-je potentiellement infecté par le "virus" dridex ? et sur l'espace de CommentÇaMarche.

Just-Metadata de Chris Truncer s'adresse principalement aux administrateurs. L'outil permet d'utiliser les indicateurs de compromission (IOC) de Dridex comme expliqué dans cet exemple.

N'attendez pas la prochaine campagne de Dridex pour vous faire plumer le portefeuille, informez-vous. Vous avez des courriels avec fichiers suspects ( Documents Office, etc.. ) ? Zippez et envoyez vos fichiers via le formulaire d'envoi de Malekal. Les échantillons sur MDB sont à disposition des communautés et sont systématiquement scannés, analysés, partagés,.. Vous participez ainsi activement à la lutte.
Dernière édition par ѠOOT le 29 juin 2015 04:03, édité 3 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 18 juin 2015 20:48

Bonjour,

Comme nous sommes dans la section "Tech, Tips & Tricks", il serait anormal de ne pas ajouter quelques trucs sur Dridex. Prenons par exemple, ces échantillons sur VXV. Pour extraire la config à partir d'un Dridex dépacké, sans se fatiguer ; doigts de pied en éventail, il suffira de rechercher la séquence POPAD suivi d'un RET. Pour vous éviter de suinter, ça ressemble à quelque chose comme ça. Un point d'arrêt & quelques pas plus loin, vous obtiendrez les adresses C2 suivi d'un PE.

<config botnet="220">
<server_list>
71.14.1.139:8443
173.230.130.172:2443
94.23.53.23:2443
176.99.6.10:8443

</server_list>
</config>


Un jour de grande chaleur où vous n'aurez rien de mieux à faire, vous pourrez vous changer les idées en décortiquant les petits xor et autres cochonneries pour finalement vous passer du débogueur en codant un extracteur de configuration Dridex digne de ce nom. Comme tout le monde le sait ( ah bon.. ) Dridex injecte un module ( une .dll ; 32 ou 64 bits ) qu'il va d'abord réccupérer en contactant le C2. Tant qu'à faire, la bestiole se permet de transmettre aux "botherders" ( aux attaquants quoi.. ) la liste des logiciels installés chez la victime.

<loader>
<get_module unique="MAMACHINE_0123456789abcdef0123456789abcdef" botnet="220" system="2600" name="bot" bit="32"/>
<soft>
<![CDATA[Adibou;...;Starting path: 5]]>
</soft>
</loader>


Le serveur répondra à la demande avec une structure qui ressemble à:

<root>
<nodes>...</nodes>
<module name="bot" bit="32">...</module>
</root>


La librairie tente généralement de se faire passer pour une bibliothèque de Microsoft.

Image

On y croirait presque, hein ? À l'exception près qu'elle est légèrement en russe.
Et puis de toute façon ce n'est qu'une façade car son véritable nom est différent.

Name: 0x0004D25C ("worker_x32.dll")
TimeDateStamp: 0x557EF5C6 (GMT: Mon Jun 15 15:56:54 2015)


Il y a deux jours lors de l'analyse, les détections étaient plutôt x_X
Mais depuis, grâce aux enzymes gloutons du Polypipo actif, ^_^

[reklam] À part ça, si vous n'avez rien à lire sur la plage et que vous avez encore 12.90 € après l'achat de votre maillot de bain, vous pouvez vous procurer le splendide hors-série "Outils de sécurité". [/reklam]

Liens connexes:
➱ ( June 18, 2015 ) ❴ Analyse détaillée d'un dropper du malware Dridex
➱ ( June 19, 2015 ) ❴ Evolution of Dridex malware
➱ ( August 6, 2015 ) ❴ La Gendarmerie française appelle à la vigilance face à Dridex
➱ ( November 17, 2015 ) ❴ Talking to Dridex (part 0) – inside the dropper
➱ ( November 25, 2015 ) ❴ DRIDEX Spam Runs Resurface Against US Targets
➱ ( December 17, 2015 ) ❴ Dridex & Process Hollowing
➱ ( June 1, 2016 ) ❴ Poses as Fake Certificate in Latest Spam Run
➱ ( June 23, 2016 ) ❴ Hello old friend: DRIDEX at it again
Dernière édition par ѠOOT le 19 juin 2015 12:09, édité 1 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86235
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par Malekal_morte » 19 juin 2015 11:30

Les courriels malicieux en Word visent clairement les entreprises.
Je n'ai reçu aucun sur les adresses @malekal.com

Fireye le confirme :
Dridex targeted corporate banking accounts and successfully stole more than a million dollars from unsuspecting companies by transferring a large amount of money to various offshore accounts, and quickly moving money from one account to another, making reversal of the transaction often impossible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Dridex: Bel écrasement du MBR pour les utilisateurs de TOR

Message par ѠOOT » 30 juin 2015 19:18

Bonjour,

J'allais indiquer la présence d'une nouvelle fonctionnalité d'écrasement du MBR mais @Lexsi a dégainé l'information via un tweet accompagné d'une capture d'écran. Et bien, merci à eux pour ce gain de temps.

Dridex CnC checks the IP address of infected systems.
For TOR IPs, you will get this nice MBR eraser as an answer.


Image
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 17 juil. 2015 13:52

Bonjour,

Comme l'a souligné Malekal, de nouvelles campagnes avec documents Microsoft Office piégés sont actives en Europe. Et dernièrement les usagers des banques espagnoles & anglo-saxonnes ont été particulièrement ciblés par Dyre. Aujourd'hui, je prends 2 petites minutes pour pointer un échantillon du doigt.

Ce document Microsoft Word piégé contient des macros-commandes VBA, qui, une fois exécutées, entrainent le téléchargement & l'exécution d'un programme malveillant ( SHA1: 06872EF7F778DE86481E22A7021AEFA3D51EA693 ).
Ce programme se fait passer pour un autre, le codec "lameACM.acm", c-à-d Lame MP3. Jusque là, la routine. Mais la particularité, c'est que le programme est signé par "BSCP Limited".

Code : Tout sélectionner

        Verified:       Signed
        Signers:
           BSCP Limited
                Status:         Valid
                Valid Usage:    Code Signing
                Serial Number:  2A:DD:43:5C:1D:AD:C0:E7:E2:80:AF:6E:EC:21:60:C4
                Thumbprint:     CE9FEFA5DCF8E5EBB7DF4271C23755EADA545FB3
                Algorithm:      SHA1
                Valid from:     02:00 02/12/2014
                Valid to:       01:59 03/12/2015
           COMODO Code Signing CA 2
                Status:         Valid
                Valid Usage:    Code Signing
                Serial Number:  10:70:9D:4F:F5:54:08:D7:30:60:01:D8:EA:91:75:BB
                Thumbprint:     B64771392538D1EB7A9281998791C14AFD0C5035
                Algorithm:      SHA1
                Valid from:     02:00 24/08/2011
                Valid to:       12:48 30/05/2020
           UTN - USERFirst-Object
                Status:         Valid
                Valid Usage:    Timestamp Signing, Code Signing
                Serial Number:  44:BE:0C:8B:50:00:24:B4:11:D3:36:2D:E0:B3:5F:1B
                Thumbprint:     E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46
                Algorithm:      SHA1
                Valid from:     20:31 09/07/1999
                Valid to:       20:40 09/07/2019
        Signing date:   n/a
        Publisher:      BSCP Limited
        Description:    Lame MP3 codec engine
        Product:        Lame MP3 codec
        Prod version:   3.9.2
        File version:   3.9.2
        MachineType:    32-bit
        Binary Version: 3.9.2.0
        Original Name:  lameACM.acm
        Internal Name:  lameACM
        Copyright:      Copyright ® 2002 Steve Lhomme, Copyright ® 2002-2007 The LAME Project
        Comments:       This is an ACM driver for Win32 using Lame to encode
        Entropy:        6.234
        MD5:    4A243F61F591CA616EBAA4FE4DF9507F
        SHA1:   06872EF7F778DE86481E22A7021AEFA3D51EA693
        PESHA1: 241EC2009D6FF9A0032020D7DBDE36F71ED5AF04
        SHA256: EAF155B28526F32C7FE8D2B675C353FD58215B2E68B0E8A5D9D77CC0CC9B5B21

Code : Tout sélectionner

Certificate:
    Data:
        Version: 3 (0x2) Serial Number:
            42:1a:f2:94:09:84:19:1f:52:0a:4b:c6:24:26:a7:4b
        Signature Algorithm: sha1WithRSAEncryption Issuer: C=SE,
        O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust
        External CA Root Validity
            Not Before: Jun  7 08:09:10 2005 GMT Not After : May 30
            10:48:38 2020 GMT
        Subject: C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
        OU=http://www.usertrust.com, CN=UTN-USERFirst-Object Subject
        Public Key Info:
            Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:ce:aa:81:3f:a3:a3:61:78:aa:31:00:55:95:11:
                    9e:27:0f:1f:1c:df:3a:9b:82:68:30:c0:4a:61:1d:
                    f1:2f:0e:fa:be:79:f7:a5:23:ef:55:51:96:84:cd:
                    db:e3:b9:6e:3e:31:d8:0a:20:67:c7:f4:d9:bf:94:
                    eb:47:04:3e:02:ce:2a:a2:5d:87:04:09:f6:30:9d:
                    18:8a:97:b2:aa:1c:fc:41:d2:a1:36:cb:fb:3d:91:
                    ba:e7:d9:70:35:fa:e4:e7:90:c3:9b:a3:9b:d3:3c:
                    f5:12:99:77:b1:b7:09:e0:68:e6:1c:b8:f3:94:63:
                    88:6a:6a:fe:0b:76:c9:be:f4:22:e4:67:b9:ab:1a:
                    5e:77:c1:85:07:dd:0d:6c:bf:ee:06:c7:77:6a:41:
                    9e:a7:0f:d7:fb:ee:94:17:b7:fc:85:be:a4:ab:c4:
                    1c:31:dd:d7:b6:d1:e4:f0:ef:df:16:8f:b2:52:93:
                    d7:a1:d4:89:a1:07:2e:bf:e1:01:12:42:1e:1a:e1:
                    d8:95:34:db:64:79:28:ff:ba:2e:11:c2:e5:e8:5b:
                    92:48:fb:47:0b:c2:6c:da:ad:32:83:41:f3:a5:e5:
                    41:70:fd:65:90:6d:fa:fa:51:c4:f9:bd:96:2b:19:
                    04:2c:d3:6d:a7:dc:f0:7f:6f:83:65:e2:6a:ab:87: 86:75
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A

            X509v3 Subject Key Identifier:
                DA:ED:64:74:14:9C:14:3C:AB:DD:99:A9:BD:5B:28:4D:8B:3C:C9:D8
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Certificate Policies:
                Policy: X509v3 Any Policy

            X509v3 CRL Distribution Points:
                URI:http://crl.usertrust.com/AddTrustExternalCARoot.crl

            Authority Information Access:
                OCSP - URI:http://ocsp.usertrust.com

    Signature Algorithm: sha1WithRSAEncryption
        4d:42:2f:a6:c1:8a:eb:07:80:90:58:46:8c:f8:19:39:66:2a:
        3c:5a:2c:6d:cf:d4:d9:87:55:8d:79:0b:12:88:7b:40:8f:d5:
        c7:f8:4b:8d:55:16:63:ad:b7:57:dc:3b:2b:bd:d3:c1:4f:1e:
        03:87:4b:44:9b:e3:e2:40:45:26:f3:26:49:2b:6a:84:f1:54:
        7a:d4:42:da:fc:d3:6a:bb:66:7e:ca:9e:ea:e9:bb:dc:07:c7:
        c3:92:4e:83:3c:81:49:9f:92:d5:32:09:ea:49:2e:a1:11:71:
        9a:36:d2:c5:4e:68:b6:cb:0e:1b:25:16:af:6c:de:5d:76:d8:
        1f:72:b1:93:26:86:17:db:18:de:af:45:e9:df:fb:98:af:14:
        18:ed:a4:5e:f6:89:94:45:f0:55:04:4a:dd:ff:27:dd:06:4a:
        40:f6:b4:bc:f1:e4:0f:99:02:bb:fd:5d:0e:2e:28:c1:be:3b:
        5f:1a:3f:97:10:84:bc:16:3e:d8:a3:9c:63:1d:66:cb:5c:5f:
        da:3e:f3:0f:0a:09:35:22:db:db:c0:3f:00:f9:e6:0d:5d:67:
        d1:fd:a0:1e:03:2b:d9:40:f7:be:cc:87:66:54:80:a6:a3:b8:
        f5:19:62:d5:d2:26:b1:98:26:ee:9a:cb:44:a7:45:5a:81:95: 15:1a:f5:51

Certificate:
    Data:
        Version: 3 (0x2) Serial Number:
            10:70:9d:4f:f5:54:08:d7:30:60:01:d8:ea:91:75:bb
        Signature Algorithm: sha1WithRSAEncryption Issuer:
        C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
        OU=http://www.usertrust.com, CN=UTN-USERFirst-Object Validity
            Not Before: Aug 24 00:00:00 2011 GMT Not After : May 30
            10:48:38 2020 GMT
        Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA
        Limited, CN=COMODO Code Signing CA 2 Subject Public Key Info:
            Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:cb:f8:e7:a7:e8:f1:97:28:40:68:80:37:d2:c8:
                    3f:8e:92:8a:92:37:87:47:80:ea:4c:99:cf:6e:f9:
                    15:47:bd:ee:75:f4:44:ac:d0:c3:d4:4d:f7:19:c0:
                    d3:3c:4d:c1:47:b9:59:65:16:93:8c:d9:0a:84:9b:
                    9f:e8:f6:6a:63:58:fe:5f:dc:d1:7f:4b:51:9f:00:
                    1c:00:87:54:20:07:57:a0:82:c9:2f:98:af:33:8a:
                    bb:7b:80:22:25:6a:6c:af:c2:2c:6c:79:13:bd:a3:
                    2a:48:d6:b5:8e:61:55:e9:6b:e8:3d:80:bf:14:03:
                    85:18:8e:7e:4c:e9:c2:19:88:73:92:72:cd:fa:ff:
                    50:4d:cb:2c:a6:7b:1a:73:b1:00:90:2c:d9:32:e2:
                    fb:fd:ac:95:42:36:ec:34:c5:13:53:68:b2:c1:9f:
                    40:9f:da:7b:c8:9d:62:6c:93:a2:42:d7:79:9f:97:
                    4f:31:5b:50:21:a1:ab:af:d9:1c:b2:ce:75:be:5b:
                    2c:56:00:24:8d:11:c1:75:1f:f0:fe:d2:95:fe:f0:
                    e1:31:23:18:67:c0:5b:13:fd:5a:98:94:94:ff:ff:
                    59:02:1f:00:ac:e6:f1:f2:fa:3a:73:b3:1d:42:fc:
                    54:75:cf:51:31:2f:e3:db:81:d9:77:23:2a:4f:59: ce:23
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:DA:ED:64:74:14:9C:14:3C:AB:DD:99:A9:BD:5B:28:4D:8B:3C:C9:D8

            X509v3 Subject Key Identifier:
                1E:C5:B1:2C:7D:87:DA:02:68:7C:25:BC:0C:07:84:3F:B6:CF:DE:F1
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Extended Key Usage:
                Code Signing
            X509v3 Certificate Policies:
                Policy: X509v3 Any Policy

            X509v3 CRL Distribution Points:
                URI:http://crl.usertrust.com/UTN-USERFirst-Object.crl

            Authority Information Access:
                CA Issuers -
                URI:http://crt.usertrust.com/UTNAddTrustObject_CA.crt
                OCSP - URI:http://ocsp.usertrust.com

    Signature Algorithm: sha1WithRSAEncryption
        95:89:77:93:68:01:5e:7c:d9:2d:37:07:90:5d:5a:42:5e:0c:
        64:b4:36:b5:0f:f6:ab:d5:39:27:de:22:46:a4:49:1c:66:4b:
        46:19:59:2e:79:49:03:f6:9c:92:df:6d:50:35:5c:0c:91:2e:
        60:03:59:d0:f1:64:f7:69:09:f6:7e:fe:eb:34:b3:6d:b1:bf:
        66:9c:a3:ba:31:78:b9:87:35:61:3d:92:31:1b:ef:f4:e8:9e:
        d6:ac:45:fa:0c:36:3c:80:67:bb:bd:ef:2e:c2:90:e1:3d:71:
        2f:3b:c1:b0:58:7e:45:c3:52:71:03:07:f6:f3:39:4d:8b:36:
        21:1b:01:df:d9:da:5e:2b:eb:0e:97:80:1e:44:1c:50:88:f5:
        c6:12:33:4a:a8:4d:a5:8d:2f:94:0c:7b:c6:bf:9a:2c:c3:32:
        cd:bd:8c:27:26:f0:e1:30:03:50:06:82:bc:f4:3b:b3:83:75:
        06:c6:ef:ba:ee:d3:80:f8:52:c6:ac:cb:79:f2:38:9e:7b:b0:
        92:58:42:91:05:c8:96:21:ad:b9:4b:16:81:14:69:f1:37:b0:
        fe:34:f7:dc:b0:df:97:f5:43:10:9b:76:8f:b4:65:f5:e8:9f:
        13:b7:1e:ac:6f:c4:69:8a:5f:ba:3c:61:7e:5e:49:86:23:13: 2e:af:15:48

Certificate:
    Data:
        Version: 3 (0x2) Serial Number:
            2a:dd:43:5c:1d:ad:c0:e7:e2:80:af:6e:ec:21:60:c4
        Signature Algorithm: sha1WithRSAEncryption Issuer: C=GB,
        ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
        Code Signing CA 2 Validity
            Not Before: Dec  2 00:00:00 2014 GMT Not After : Dec  2
            23:59:59 2015 GMT
        Subject: C=GB/postalCode=W1J 6BD, ST=London,
        L=London/streetAddress=Berkeley Square/streetAddress=Berkeley
        Square House, O=BSCP Limited, CN=BSCP Limited Subject Public
        Key Info:
            Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:b1:dc:13:5b:96:2c:37:84:61:45:07:48:3c:ba:
                    9d:aa:9f:f9:79:0d:38:98:36:00:dd:e7:a5:23:16:
                    9f:b8:6c:69:43:90:53:e1:63:66:c0:85:16:37:f9:
                    c8:3a:dd:bb:f7:6a:af:c5:54:8e:f1:0a:37:7b:21:
                    50:f0:78:e7:09:3c:e4:48:36:20:d7:59:58:2b:a0:
                    a8:81:d3:8c:77:23:1f:6c:85:82:ad:c1:20:50:cb:
                    7a:a5:91:10:3e:25:39:10:b1:a6:32:e2:a9:02:b1:
                    67:d1:56:a1:bb:fb:3a:65:94:79:b0:ee:ea:1f:d5:
                    20:b9:03:f3:52:c1:c3:90:de:7c:68:10:4c:63:08:
                    b4:6a:e8:45:58:66:54:f3:46:1a:01:4f:03:21:a6:
                    d7:37:16:bf:fb:fa:f2:e9:21:2d:fb:71:78:f1:b4:
                    6e:6b:cb:a3:01:9e:d0:34:87:59:71:fd:ac:33:c8:
                    1c:e7:a9:9a:6d:b2:6e:43:ba:22:f3:83:ce:37:9d:
                    69:9d:de:c0:4b:fe:2f:8d:3f:d1:b1:e9:2b:bc:fc:
                    e1:f7:e1:da:71:7f:c1:54:b6:b8:e7:84:1a:a2:ef:
                    cb:a3:0c:4b:7e:2e:11:48:f4:29:b8:ba:11:d8:53:
                    03:3a:2b:80:58:1f:c1:18:5b:3e:7f:59:50:3a:6c: a2:89
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:1E:C5:B1:2C:7D:87:DA:02:68:7C:25:BC:0C:07:84:3F:B6:CF:DE:F1

            X509v3 Subject Key Identifier:
                BC:26:DA:A5:BF:C7:EA:F4:E3:75:A8:D7:DF:B5:32:EC:A4:7E:7D:02
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Extended Key Usage:
                Code Signing
            Netscape Cert Type:
                Object Signing
            X509v3 Certificate Policies:
                Policy: 1.3.6.1.4.1.6449.1.2.1.3.2
                  CPS: https://secure.comodo.net/CPS

            X509v3 CRL Distribution Points:
                URI:http://crl.comodoca.com/COMODOCodeSigningCA2.crl

            Authority Information Access:
                CA Issuers -
                URI:http://crt.comodoca.com/COMODOCodeSigningCA2.crt
                OCSP - URI:http://ocsp.comodoca.com

    Signature Algorithm: sha1WithRSAEncryption
        79:83:ef:8b:29:64:bd:c2:48:70:a0:42:23:f0:36:bc:7c:22:
        0a:b9:73:ba:42:45:bd:76:dc:56:50:92:a2:f0:3c:ad:01:db:
        95:9e:f4:49:d8:14:66:4d:73:e8:d7:e6:d9:77:65:c9:22:8d:
        eb:31:c3:6e:93:05:65:08:5b:e2:c1:17:fc:35:13:7c:b5:1f:
        77:51:e3:cf:d1:ef:c3:3a:86:10:0f:68:9e:e4:73:a6:a0:54:
        2f:7b:99:9f:4e:3b:a2:e8:b1:f0:8b:b7:03:d1:d5:49:f1:67:
        f5:0f:0c:99:af:5c:6a:f0:03:a2:36:88:ea:89:af:bc:5d:ca:
        a9:b7:4d:4a:0f:12:0f:7e:6b:a4:43:31:d0:43:6e:67:f9:d8:
        60:01:3d:58:ad:19:07:fc:b3:a1:ba:c1:6e:47:c7:7f:e9:54:
        3a:32:91:36:ad:3c:8d:71:b1:e1:63:76:29:e1:98:c1:22:cd:
        b4:8b:b2:76:15:34:ca:42:7c:f3:66:e2:4c:f9:8c:48:57:1d:
        2a:d6:47:1d:ff:4e:5e:07:7f:4d:60:90:f1:e2:0c:60:b6:18:
        74:c2:cf:10:29:86:59:bf:62:12:a0:0d:d8:80:f7:fd:7c:3e:
        1f:16:a5:5d:d5:55:01:d9:63:59:30:83:ad:76:da:1f:f7:fd: c3:25:bb:c0

Code : Tout sélectionner

    0:d=0  hl=4 l=4463 cons: SEQUENCE          
    4:d=1  hl=2 l=   9 prim:  OBJECT            :pkcs7-signedData
   15:d=1  hl=4 l=4448 cons:  cont [ 0 ]        
   19:d=2  hl=4 l=4444 cons:   SEQUENCE          
   23:d=3  hl=2 l=   1 prim:    INTEGER           :01
   26:d=3  hl=2 l=  11 cons:    SET               
   28:d=4  hl=2 l=   9 cons:     SEQUENCE          
   30:d=5  hl=2 l=   5 prim:      OBJECT            :sha1
   37:d=5  hl=2 l=   0 prim:      NULL              
   39:d=3  hl=2 l= 104 cons:    SEQUENCE          
   41:d=4  hl=2 l=  10 prim:     OBJECT            :1.3.6.1.4.1.311.2.1.4
   53:d=4  hl=2 l=  90 cons:     cont [ 0 ]        
   55:d=5  hl=2 l=  88 cons:      SEQUENCE          
   57:d=6  hl=2 l=  51 cons:       SEQUENCE          
   59:d=7  hl=2 l=  10 prim:        OBJECT            :1.3.6.1.4.1.311.2.1.15
   71:d=7  hl=2 l=  37 cons:        SEQUENCE          
   73:d=8  hl=2 l=   1 prim:         BIT STRING        
      0001 - <SPACES/NULS>
   76:d=8  hl=2 l=  32 cons:         cont [ 0 ]        
   78:d=9  hl=2 l=  30 cons:          cont [ 2 ]        
   80:d=10 hl=2 l=  28 prim:           cont [ 0 ]        
  110:d=6  hl=2 l=  33 cons:       SEQUENCE          
  112:d=7  hl=2 l=   9 cons:        SEQUENCE          
  114:d=8  hl=2 l=   5 prim:         OBJECT            :sha1
  121:d=8  hl=2 l=   0 prim:         NULL              
  123:d=7  hl=2 l=  20 prim:        OCTET STRING      
      0000 - 24 1e c2 00 9d 6f f9 a0-03 20 20 d7 db de 36 f7   $....o...  ...6.
      0010 - 1e d5 af 04                                       ....
  145:d=3  hl=4 l=3761 cons:    cont [ 0 ]        
  149:d=4  hl=4 l=1156 cons:     SEQUENCE          
  153:d=5  hl=4 l= 876 cons:      SEQUENCE          
  157:d=6  hl=2 l=   3 cons:       cont [ 0 ]        
  159:d=7  hl=2 l=   1 prim:        INTEGER           :02
  162:d=6  hl=2 l=  16 prim:       INTEGER           :421AF2940984191F520A4BC62426A74B
  180:d=6  hl=2 l=  13 cons:       SEQUENCE          
  182:d=7  hl=2 l=   9 prim:        OBJECT            :sha1WithRSAEncryption
  193:d=7  hl=2 l=   0 prim:        NULL              
  195:d=6  hl=2 l= 111 cons:       SEQUENCE          
  197:d=7  hl=2 l=  11 cons:        SET               
  199:d=8  hl=2 l=   9 cons:         SEQUENCE          
  201:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
  206:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :SE
  210:d=7  hl=2 l=  20 cons:        SET               
  212:d=8  hl=2 l=  18 cons:         SEQUENCE          
  214:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
  219:d=9  hl=2 l=  11 prim:          PRINTABLESTRING   :AddTrust AB
  232:d=7  hl=2 l=  38 cons:        SET               
  234:d=8  hl=2 l=  36 cons:         SEQUENCE          
  236:d=9  hl=2 l=   3 prim:          OBJECT            :organizationalUnitName
  241:d=9  hl=2 l=  29 prim:          PRINTABLESTRING   :AddTrust External TTP Network
  272:d=7  hl=2 l=  34 cons:        SET               
  274:d=8  hl=2 l=  32 cons:         SEQUENCE          
  276:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
  281:d=9  hl=2 l=  25 prim:          PRINTABLESTRING   :AddTrust External CA Root
  308:d=6  hl=2 l=  30 cons:       SEQUENCE          
  310:d=7  hl=2 l=  13 prim:        UTCTIME           :050607080910Z
  325:d=7  hl=2 l=  13 prim:        UTCTIME           :200530104838Z
  340:d=6  hl=3 l= 149 cons:       SEQUENCE          
  343:d=7  hl=2 l=  11 cons:        SET               
  345:d=8  hl=2 l=   9 cons:         SEQUENCE          
  347:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
  352:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :US
  356:d=7  hl=2 l=  11 cons:        SET               
  358:d=8  hl=2 l=   9 cons:         SEQUENCE          
  360:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
  365:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :UT
  369:d=7  hl=2 l=  23 cons:        SET               
  371:d=8  hl=2 l=  21 cons:         SEQUENCE          
  373:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
  378:d=9  hl=2 l=  14 prim:          PRINTABLESTRING   :Salt Lake City
  394:d=7  hl=2 l=  30 cons:        SET               
  396:d=8  hl=2 l=  28 cons:         SEQUENCE          
  398:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
  403:d=9  hl=2 l=  21 prim:          PRINTABLESTRING   :The USERTRUST Network
  426:d=7  hl=2 l=  33 cons:        SET               
  428:d=8  hl=2 l=  31 cons:         SEQUENCE          
  430:d=9  hl=2 l=   3 prim:          OBJECT            :organizationalUnitName
  435:d=9  hl=2 l=  24 prim:          PRINTABLESTRING   :http://www.usertrust.com
  461:d=7  hl=2 l=  29 cons:        SET               
  463:d=8  hl=2 l=  27 cons:         SEQUENCE          
  465:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
  470:d=9  hl=2 l=  20 prim:          PRINTABLESTRING   :UTN-USERFirst-Object
  492:d=6  hl=4 l= 290 cons:       SEQUENCE          
  496:d=7  hl=2 l=  13 cons:        SEQUENCE          
  498:d=8  hl=2 l=   9 prim:         OBJECT            :rsaEncryption
  509:d=8  hl=2 l=   0 prim:         NULL              
  511:d=7  hl=4 l= 271 prim:        BIT STRING        
      0000 - 00 30 82 01 0a 02 82 01-01 00 ce aa 81 3f a3 a3   .0...........?..
      0010 - 61 78 aa 31 00 55 95 11-9e 27 0f 1f 1c df 3a 9b   ax.1.U...'....:.
      0020 - 82 68 30 c0 4a 61 1d f1-2f 0e fa be 79 f7 a5 23   .h0.Ja../...y..#
      0030 - ef 55 51 96 84 cd db e3-b9 6e 3e 31 d8 0a 20 67   .UQ......n>1.. g
      0040 - c7 f4 d9 bf 94 eb 47 04-3e 02 ce 2a a2 5d 87 04   ......G.>..*.]..
      0050 - 09 f6 30 9d 18 8a 97 b2-aa 1c fc 41 d2 a1 36 cb   ..0........A..6.
      0060 - fb 3d 91 ba e7 d9 70 35-fa e4 e7 90 c3 9b a3 9b   .=....p5........
      0070 - d3 3c f5 12 99 77 b1 b7-09 e0 68 e6 1c b8 f3 94   .<...w....h.....
      0080 - 63 88 6a 6a fe 0b 76 c9-be f4 22 e4 67 b9 ab 1a   c.jj..v...".g...
      0090 - 5e 77 c1 85 07 dd 0d 6c-bf ee 06 c7 77 6a 41 9e   ^w.....l....wjA.
      00a0 - a7 0f d7 fb ee 94 17 b7-fc 85 be a4 ab c4 1c 31   ...............1
      00b0 - dd d7 b6 d1 e4 f0 ef df-16 8f b2 52 93 d7 a1 d4   ...........R....
      00c0 - 89 a1 07 2e bf e1 01 12-42 1e 1a e1 d8 95 34 db   ........B.....4.
      00d0 - 64 79 28 ff ba 2e 11 c2-e5 e8 5b 92 48 fb 47 0b   dy(.......[.H.G.
      00e0 - c2 6c da ad 32 83 41 f3-a5 e5 41 70 fd 65 90 6d   .l..2.A...Ap.e.m
      00f0 - fa fa 51 c4 f9 bd 96 2b-19 04 2c d3 6d a7 dc f0   ..Q....+..,.m...
      0100 - 7f 6f 83 65 e2 6a ab 87-86 75 02 03 01 00 01      .o.e.j...u.....
  786:d=6  hl=3 l= 244 cons:       cont [ 3 ]        
  789:d=7  hl=3 l= 241 cons:        SEQUENCE          
  792:d=8  hl=2 l=  31 cons:         SEQUENCE          
  794:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Authority Key Identifier
  799:d=9  hl=2 l=  24 prim:          OCTET STRING      
      0000 - 30 16 80 14 ad bd 98 7a-34 b4 26 f7 fa c4 26 54   0......z4.&...&T
      0010 - ef 03 bd e0 24 cb 54 1a-                          ....$.T.
  825:d=8  hl=2 l=  29 cons:         SEQUENCE          
  827:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Subject Key Identifier
  832:d=9  hl=2 l=  22 prim:          OCTET STRING      
      0000 - 04 14 da ed 64 74 14 9c-14 3c ab dd 99 a9 bd 5b   ....dt...<.....[
      0010 - 28 4d 8b 3c c9 d8                                 (M.<..
  856:d=8  hl=2 l=  14 cons:         SEQUENCE          
  858:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Key Usage
  863:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
  866:d=9  hl=2 l=   4 prim:          OCTET STRING      
      0000 - 03 02 01 06                                       ....
  872:d=8  hl=2 l=  15 cons:         SEQUENCE          
  874:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Basic Constraints
  879:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
  882:d=9  hl=2 l=   5 prim:          OCTET STRING      
      0000 - 30 03 01 01 ff                                    0....
  889:d=8  hl=2 l=  17 cons:         SEQUENCE          
  891:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Certificate Policies
  896:d=9  hl=2 l=  10 prim:          OCTET STRING      
      0000 - 30 08 30 06 06 04 55 1d-                          0.0...U.
      000a - <SPACES/NULS>
  908:d=8  hl=2 l=  68 cons:         SEQUENCE          
  910:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 CRL Distribution Points
  915:d=9  hl=2 l=  61 prim:          OCTET STRING      
      0000 - 30 3b 30 39 a0 37 a0 35-86 33 68 74 74 70 3a 2f   0;09.7.5.3http:/
      0010 - 2f 63 72 6c 2e 75 73 65-72 74 72 75 73 74 2e 63   /crl.usertrust.c
      0020 - 6f 6d 2f 41 64 64 54 72-75 73 74 45 78 74 65 72   om/AddTrustExter
      0030 - 6e 61 6c 43 41 52 6f 6f-74 2e 63 72 6c            nalCARoot.crl
  978:d=8  hl=2 l=  53 cons:         SEQUENCE          
  980:d=9  hl=2 l=   8 prim:          OBJECT            :Authority Information Access
  990:d=9  hl=2 l=  41 prim:          OCTET STRING      
      0000 - 30 27 30 25 06 08 2b 06-01 05 05 07 30 01 86 19   0'0%..+.....0...
      0010 - 68 74 74 70 3a 2f 2f 6f-63 73 70 2e 75 73 65 72   http://ocsp.user
      0020 - 74 72 75 73 74 2e 63 6f-6d                        trust.com
 1033:d=5  hl=2 l=  13 cons:      SEQUENCE          
 1035:d=6  hl=2 l=   9 prim:       OBJECT            :sha1WithRSAEncryption
 1046:d=6  hl=2 l=   0 prim:       NULL              
 1048:d=5  hl=4 l= 257 prim:      BIT STRING        
      0000 - 00 4d 42 2f a6 c1 8a eb-07 80 90 58 46 8c f8 19   .MB/.......XF...
      0010 - 39 66 2a 3c 5a 2c 6d cf-d4 d9 87 55 8d 79 0b 12   9f*<Z,m....U.y..
      0020 - 88 7b 40 8f d5 c7 f8 4b-8d 55 16 63 ad b7 57 dc   .{@....K.U.c..W.
      0030 - 3b 2b bd d3 c1 4f 1e 03-87 4b 44 9b e3 e2 40 45   ;+...O...KD...@E
      0040 - 26 f3 26 49 2b 6a 84 f1-54 7a d4 42 da fc d3 6a   &.&I+j..Tz.B...j
      0050 - bb 66 7e ca 9e ea e9 bb-dc 07 c7 c3 92 4e 83 3c   .f~..........N.<
      0060 - 81 49 9f 92 d5 32 09 ea-49 2e a1 11 71 9a 36 d2   .I...2..I...q.6.
      0070 - c5 4e 68 b6 cb 0e 1b 25-16 af 6c de 5d 76 d8 1f   .Nh....%..l.]v..
      0080 - 72 b1 93 26 86 17 db 18-de af 45 e9 df fb 98 af   r..&......E.....
      0090 - 14 18 ed a4 5e f6 89 94-45 f0 55 04 4a dd ff 27   ....^...E.U.J..'
      00a0 - dd 06 4a 40 f6 b4 bc f1-e4 0f 99 02 bb fd 5d 0e   ..J@..........].
      00b0 - 2e 28 c1 be 3b 5f 1a 3f-97 10 84 bc 16 3e d8 a3   .(..;_.?.....>..
      00c0 - 9c 63 1d 66 cb 5c 5f da-3e f3 0f 0a 09 35 22 db   .c.f.\_.>....5".
      00d0 - db c0 3f 00 f9 e6 0d 5d-67 d1 fd a0 1e 03 2b d9   ..?....]g.....+.
      00e0 - 40 f7 be cc 87 66 54 80-a6 a3 b8 f5 19 62 d5 d2   @....fT......b..
      00f0 - 26 b1 98 26 ee 9a cb 44-a7 45 5a 81 95 15 1a f5   &..&...D.EZ.....
      0100 - 51                                                Q
 1309:d=4  hl=4 l=1255 cons:     SEQUENCE          
 1313:d=5  hl=4 l= 975 cons:      SEQUENCE          
 1317:d=6  hl=2 l=   3 cons:       cont [ 0 ]        
 1319:d=7  hl=2 l=   1 prim:        INTEGER           :02
 1322:d=6  hl=2 l=  16 prim:       INTEGER           :10709D4FF55408D7306001D8EA9175BB
 1340:d=6  hl=2 l=  13 cons:       SEQUENCE          
 1342:d=7  hl=2 l=   9 prim:        OBJECT            :sha1WithRSAEncryption
 1353:d=7  hl=2 l=   0 prim:        NULL              
 1355:d=6  hl=3 l= 149 cons:       SEQUENCE          
 1358:d=7  hl=2 l=  11 cons:        SET               
 1360:d=8  hl=2 l=   9 cons:         SEQUENCE          
 1362:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
 1367:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :US
 1371:d=7  hl=2 l=  11 cons:        SET               
 1373:d=8  hl=2 l=   9 cons:         SEQUENCE          
 1375:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
 1380:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :UT
 1384:d=7  hl=2 l=  23 cons:        SET               
 1386:d=8  hl=2 l=  21 cons:         SEQUENCE          
 1388:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
 1393:d=9  hl=2 l=  14 prim:          PRINTABLESTRING   :Salt Lake City
 1409:d=7  hl=2 l=  30 cons:        SET               
 1411:d=8  hl=2 l=  28 cons:         SEQUENCE          
 1413:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
 1418:d=9  hl=2 l=  21 prim:          PRINTABLESTRING   :The USERTRUST Network
 1441:d=7  hl=2 l=  33 cons:        SET               
 1443:d=8  hl=2 l=  31 cons:         SEQUENCE          
 1445:d=9  hl=2 l=   3 prim:          OBJECT            :organizationalUnitName
 1450:d=9  hl=2 l=  24 prim:          PRINTABLESTRING   :http://www.usertrust.com
 1476:d=7  hl=2 l=  29 cons:        SET               
 1478:d=8  hl=2 l=  27 cons:         SEQUENCE          
 1480:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
 1485:d=9  hl=2 l=  20 prim:          PRINTABLESTRING   :UTN-USERFirst-Object
 1507:d=6  hl=2 l=  30 cons:       SEQUENCE          
 1509:d=7  hl=2 l=  13 prim:        UTCTIME           :110824000000Z
 1524:d=7  hl=2 l=  13 prim:        UTCTIME           :200530104838Z
 1539:d=6  hl=2 l= 123 cons:       SEQUENCE          
 1541:d=7  hl=2 l=  11 cons:        SET               
 1543:d=8  hl=2 l=   9 cons:         SEQUENCE          
 1545:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
 1550:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :GB
 1554:d=7  hl=2 l=  27 cons:        SET               
 1556:d=8  hl=2 l=  25 cons:         SEQUENCE          
 1558:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
 1563:d=9  hl=2 l=  18 prim:          PRINTABLESTRING   :Greater Manchester
 1583:d=7  hl=2 l=  16 cons:        SET               
 1585:d=8  hl=2 l=  14 cons:         SEQUENCE          
 1587:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
 1592:d=9  hl=2 l=   7 prim:          PRINTABLESTRING   :Salford
 1601:d=7  hl=2 l=  26 cons:        SET               
 1603:d=8  hl=2 l=  24 cons:         SEQUENCE          
 1605:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
 1610:d=9  hl=2 l=  17 prim:          PRINTABLESTRING   :COMODO CA Limited
 1629:d=7  hl=2 l=  33 cons:        SET               
 1631:d=8  hl=2 l=  31 cons:         SEQUENCE          
 1633:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
 1638:d=9  hl=2 l=  24 prim:          PRINTABLESTRING   :COMODO Code Signing CA 2
 1664:d=6  hl=4 l= 290 cons:       SEQUENCE          
 1668:d=7  hl=2 l=  13 cons:        SEQUENCE          
 1670:d=8  hl=2 l=   9 prim:         OBJECT            :rsaEncryption
 1681:d=8  hl=2 l=   0 prim:         NULL              
 1683:d=7  hl=4 l= 271 prim:        BIT STRING        
      0000 - 00 30 82 01 0a 02 82 01-01 00 cb f8 e7 a7 e8 f1   .0..............
      0010 - 97 28 40 68 80 37 d2 c8-3f 8e 92 8a 92 37 87 47   .(@h.7..?....7.G
      0020 - 80 ea 4c 99 cf 6e f9 15-47 bd ee 75 f4 44 ac d0   ..L..n..G..u.D..
      0030 - c3 d4 4d f7 19 c0 d3 3c-4d c1 47 b9 59 65 16 93   ..M....<M.G.Ye..
      0040 - 8c d9 0a 84 9b 9f e8 f6-6a 63 58 fe 5f dc d1 7f   ........jcX._...
      0050 - 4b 51 9f 00 1c 00 87 54-20 07 57 a0 82 c9 2f 98   KQ.....T .W.../.
      0060 - af 33 8a bb 7b 80 22 25-6a 6c af c2 2c 6c 79 13   .3..{."%jl..,ly.
      0070 - bd a3 2a 48 d6 b5 8e 61-55 e9 6b e8 3d 80 bf 14   ..*H...aU.k.=...
      0080 - 03 85 18 8e 7e 4c e9 c2-19 88 73 92 72 cd fa ff   ....~L....s.r...
      0090 - 50 4d cb 2c a6 7b 1a 73-b1 00 90 2c d9 32 e2 fb   PM.,.{.s...,.2..
      00a0 - fd ac 95 42 36 ec 34 c5-13 53 68 b2 c1 9f 40 9f   ...B6.4..Sh...@.
      00b0 - da 7b c8 9d 62 6c 93 a2-42 d7 79 9f 97 4f 31 5b   .{..bl..B.y..O1[
      00c0 - 50 21 a1 ab af d9 1c b2-ce 75 be 5b 2c 56 00 24   P!.......u.[,V.$
      00d0 - 8d 11 c1 75 1f f0 fe d2-95 fe f0 e1 31 23 18 67   ...u........1#.g
      00e0 - c0 5b 13 fd 5a 98 94 94-ff ff 59 02 1f 00 ac e6   .[..Z.....Y.....
      00f0 - f1 f2 fa 3a 73 b3 1d 42-fc 54 75 cf 51 31 2f e3   ...:s..B.Tu.Q1/.
      0100 - db 81 d9 77 23 2a 4f 59-ce 23 02 03 01 00 01      ...w#*OY.#.....
 1958:d=6  hl=4 l= 330 cons:       cont [ 3 ]        
 1962:d=7  hl=4 l= 326 cons:        SEQUENCE          
 1966:d=8  hl=2 l=  31 cons:         SEQUENCE          
 1968:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Authority Key Identifier
 1973:d=9  hl=2 l=  24 prim:          OCTET STRING      
      0000 - 30 16 80 14 da ed 64 74-14 9c 14 3c ab dd 99 a9   0.....dt...<....
      0010 - bd 5b 28 4d 8b 3c c9 d8-                          .[(M.<..
 1999:d=8  hl=2 l=  29 cons:         SEQUENCE          
 2001:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Subject Key Identifier
 2006:d=9  hl=2 l=  22 prim:          OCTET STRING      
      0000 - 04 14 1e c5 b1 2c 7d 87-da 02 68 7c 25 bc 0c 07   .....,}...h|%...
      0010 - 84 3f b6 cf de f1                                 .?....
 2030:d=8  hl=2 l=  14 cons:         SEQUENCE          
 2032:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Key Usage
 2037:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
 2040:d=9  hl=2 l=   4 prim:          OCTET STRING      
      0000 - 03 02 01 06                                       ....
 2046:d=8  hl=2 l=  18 cons:         SEQUENCE          
 2048:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Basic Constraints
 2053:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
 2056:d=9  hl=2 l=   8 prim:          OCTET STRING      
      0000 - 30 06 01 01 ff 02 01                              0......
      0008 - <SPACES/NULS>
 2066:d=8  hl=2 l=  19 cons:         SEQUENCE          
 2068:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Extended Key Usage
 2073:d=9  hl=2 l=  12 prim:          OCTET STRING      
      0000 - 30 0a 06 08 2b 06 01 05-05 07 03 03               0...+.......
 2087:d=8  hl=2 l=  17 cons:         SEQUENCE          
 2089:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Certificate Policies
 2094:d=9  hl=2 l=  10 prim:          OCTET STRING      
      0000 - 30 08 30 06 06 04 55 1d-                          0.0...U.
      000a - <SPACES/NULS>
 2106:d=8  hl=2 l=  66 cons:         SEQUENCE          
 2108:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 CRL Distribution Points
 2113:d=9  hl=2 l=  59 prim:          OCTET STRING      
      0000 - 30 39 30 37 a0 35 a0 33-86 31 68 74 74 70 3a 2f   0907.5.3.1http:/
      0010 - 2f 63 72 6c 2e 75 73 65-72 74 72 75 73 74 2e 63   /crl.usertrust.c
      0020 - 6f 6d 2f 55 54 4e 2d 55-53 45 52 46 69 72 73 74   om/UTN-USERFirst
      0030 - 2d 4f 62 6a 65 63 74 2e-63 72 6c                  -Object.crl
 2174:d=8  hl=2 l= 116 cons:         SEQUENCE          
 2176:d=9  hl=2 l=   8 prim:          OBJECT            :Authority Information Access
 2186:d=9  hl=2 l= 104 prim:          OCTET STRING      
      0000 - 30 66 30 3d 06 08 2b 06-01 05 05 07 30 02 86 31   0f0=..+.....0..1
      0010 - 68 74 74 70 3a 2f 2f 63-72 74 2e 75 73 65 72 74   http://crt.usert
      0020 - 72 75 73 74 2e 63 6f 6d-2f 55 54 4e 41 64 64 54   rust.com/UTNAddT
      0030 - 72 75 73 74 4f 62 6a 65-63 74 5f 43 41 2e 63 72   rustObject_CA.cr
      0040 - 74 30 25 06 08 2b 06 01-05 05 07 30 01 86 19 68   t0%..+.....0...h
      0050 - 74 74 70 3a 2f 2f 6f 63-73 70 2e 75 73 65 72 74   ttp://ocsp.usert
      0060 - 72 75 73 74 2e 63 6f 6d-                          rust.com
 2292:d=5  hl=2 l=  13 cons:      SEQUENCE          
 2294:d=6  hl=2 l=   9 prim:       OBJECT            :sha1WithRSAEncryption
 2305:d=6  hl=2 l=   0 prim:       NULL              
 2307:d=5  hl=4 l= 257 prim:      BIT STRING        
      0000 - 00 95 89 77 93 68 01 5e-7c d9 2d 37 07 90 5d 5a   ...w.h.^|.-7..]Z
      0010 - 42 5e 0c 64 b4 36 b5 0f-f6 ab d5 39 27 de 22 46   B^.d.6.....9'."F
      0020 - a4 49 1c 66 4b 46 19 59-2e 79 49 03 f6 9c 92 df   .I.fKF.Y.yI.....
      0030 - 6d 50 35 5c 0c 91 2e 60-03 59 d0 f1 64 f7 69 09   mP5\...`.Y..d.i.
      0040 - f6 7e fe eb 34 b3 6d b1-bf 66 9c a3 ba 31 78 b9   .~..4.m..f...1x.
      0050 - 87 35 61 3d 92 31 1b ef-f4 e8 9e d6 ac 45 fa 0c   .5a=.1.......E..
      0060 - 36 3c 80 67 bb bd ef 2e-c2 90 e1 3d 71 2f 3b c1   6<.g.......=q/;.
      0070 - b0 58 7e 45 c3 52 71 03-07 f6 f3 39 4d 8b 36 21   .X~E.Rq....9M.6!
      0080 - 1b 01 df d9 da 5e 2b eb-0e 97 80 1e 44 1c 50 88   .....^+.....D.P.
      0090 - f5 c6 12 33 4a a8 4d a5-8d 2f 94 0c 7b c6 bf 9a   ...3J.M../..{...
      00a0 - 2c c3 32 cd bd 8c 27 26-f0 e1 30 03 50 06 82 bc   ,.2...'&..0.P...
      00b0 - f4 3b b3 83 75 06 c6 ef-ba ee d3 80 f8 52 c6 ac   .;..u........R..
      00c0 - cb 79 f2 38 9e 7b b0 92-58 42 91 05 c8 96 21 ad   .y.8.{..XB....!.
      00d0 - b9 4b 16 81 14 69 f1 37-b0 fe 34 f7 dc b0 df 97   .K...i.7..4.....
      00e0 - f5 43 10 9b 76 8f b4 65-f5 e8 9f 13 b7 1e ac 6f   .C..v..e.......o
      00f0 - c4 69 8a 5f ba 3c 61 7e-5e 49 86 23 13 2e af 15   .i._.<a~^I.#....
      0100 - 48                                                H
 2568:d=4  hl=4 l=1338 cons:     SEQUENCE          
 2572:d=5  hl=4 l=1058 cons:      SEQUENCE          
 2576:d=6  hl=2 l=   3 cons:       cont [ 0 ]        
 2578:d=7  hl=2 l=   1 prim:        INTEGER           :02
 2581:d=6  hl=2 l=  16 prim:       INTEGER           :2ADD435C1DADC0E7E280AF6EEC2160C4
 2599:d=6  hl=2 l=  13 cons:       SEQUENCE          
 2601:d=7  hl=2 l=   9 prim:        OBJECT            :sha1WithRSAEncryption
 2612:d=7  hl=2 l=   0 prim:        NULL              
 2614:d=6  hl=2 l= 123 cons:       SEQUENCE          
 2616:d=7  hl=2 l=  11 cons:        SET               
 2618:d=8  hl=2 l=   9 cons:         SEQUENCE          
 2620:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
 2625:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :GB
 2629:d=7  hl=2 l=  27 cons:        SET               
 2631:d=8  hl=2 l=  25 cons:         SEQUENCE          
 2633:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
 2638:d=9  hl=2 l=  18 prim:          PRINTABLESTRING   :Greater Manchester
 2658:d=7  hl=2 l=  16 cons:        SET               
 2660:d=8  hl=2 l=  14 cons:         SEQUENCE          
 2662:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
 2667:d=9  hl=2 l=   7 prim:          PRINTABLESTRING   :Salford
 2676:d=7  hl=2 l=  26 cons:        SET               
 2678:d=8  hl=2 l=  24 cons:         SEQUENCE          
 2680:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
 2685:d=9  hl=2 l=  17 prim:          PRINTABLESTRING   :COMODO CA Limited
 2704:d=7  hl=2 l=  33 cons:        SET               
 2706:d=8  hl=2 l=  31 cons:         SEQUENCE          
 2708:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
 2713:d=9  hl=2 l=  24 prim:          PRINTABLESTRING   :COMODO Code Signing CA 2
 2739:d=6  hl=2 l=  30 cons:       SEQUENCE          
 2741:d=7  hl=2 l=  13 prim:        UTCTIME           :141202000000Z
 2756:d=7  hl=2 l=  13 prim:        UTCTIME           :151202235959Z
 2771:d=6  hl=3 l= 169 cons:       SEQUENCE          
 2774:d=7  hl=2 l=  11 cons:        SET               
 2776:d=8  hl=2 l=   9 cons:         SEQUENCE          
 2778:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
 2783:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :GB
 2787:d=7  hl=2 l=  16 cons:        SET               
 2789:d=8  hl=2 l=  14 cons:         SEQUENCE          
 2791:d=9  hl=2 l=   3 prim:          OBJECT            :postalCode
 2796:d=9  hl=2 l=   7 prim:          UTF8STRING        :W1J 6BD
 2805:d=7  hl=2 l=  15 cons:        SET               
 2807:d=8  hl=2 l=  13 cons:         SEQUENCE          
 2809:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
 2814:d=9  hl=2 l=   6 prim:          UTF8STRING        :London
 2822:d=7  hl=2 l=  15 cons:        SET               
 2824:d=8  hl=2 l=  13 cons:         SEQUENCE          
 2826:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
 2831:d=9  hl=2 l=   6 prim:          UTF8STRING        :London
 2839:d=7  hl=2 l=  24 cons:        SET               
 2841:d=8  hl=2 l=  22 cons:         SEQUENCE          
 2843:d=9  hl=2 l=   3 prim:          OBJECT            :streetAddress
 2848:d=9  hl=2 l=  15 prim:          UTF8STRING        :Berkeley Square
 2865:d=7  hl=2 l=  30 cons:        SET               
 2867:d=8  hl=2 l=  28 cons:         SEQUENCE          
 2869:d=9  hl=2 l=   3 prim:          OBJECT            :streetAddress
 2874:d=9  hl=2 l=  21 prim:          UTF8STRING        :Berkeley Square House
 2897:d=7  hl=2 l=  21 cons:        SET               
 2899:d=8  hl=2 l=  19 cons:         SEQUENCE          
 2901:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
 2906:d=9  hl=2 l=  12 prim:          UTF8STRING        :BSCP Limited
 2920:d=7  hl=2 l=  21 cons:        SET               
 2922:d=8  hl=2 l=  19 cons:         SEQUENCE          
 2924:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
 2929:d=9  hl=2 l=  12 prim:          UTF8STRING        :BSCP Limited
 2943:d=6  hl=4 l= 290 cons:       SEQUENCE          
 2947:d=7  hl=2 l=  13 cons:        SEQUENCE          
 2949:d=8  hl=2 l=   9 prim:         OBJECT            :rsaEncryption
 2960:d=8  hl=2 l=   0 prim:         NULL              
 2962:d=7  hl=4 l= 271 prim:        BIT STRING        
      0000 - 00 30 82 01 0a 02 82 01-01 00 b1 dc 13 5b 96 2c   .0...........[.,
      0010 - 37 84 61 45 07 48 3c ba-9d aa 9f f9 79 0d 38 98   7.aE.H<.....y.8.
      0020 - 36 00 dd e7 a5 23 16 9f-b8 6c 69 43 90 53 e1 63   6....#...liC.S.c
      0030 - 66 c0 85 16 37 f9 c8 3a-dd bb f7 6a af c5 54 8e   f...7..:...j..T.
      0040 - f1 0a 37 7b 21 50 f0 78-e7 09 3c e4 48 36 20 d7   ..7{!P.x..<.H6 .
      0050 - 59 58 2b a0 a8 81 d3 8c-77 23 1f 6c 85 82 ad c1   YX+.....w#.l....
      0060 - 20 50 cb 7a a5 91 10 3e-25 39 10 b1 a6 32 e2 a9    P.z...>%9...2..
      0070 - 02 b1 67 d1 56 a1 bb fb-3a 65 94 79 b0 ee ea 1f   ..g.V...:e.y....
      0080 - d5 20 b9 03 f3 52 c1 c3-90 de 7c 68 10 4c 63 08   . ...R....|h.Lc.
      0090 - b4 6a e8 45 58 66 54 f3-46 1a 01 4f 03 21 a6 d7   .j.EXfT.F..O.!..
      00a0 - 37 16 bf fb fa f2 e9 21-2d fb 71 78 f1 b4 6e 6b   7......!-.qx..nk
      00b0 - cb a3 01 9e d0 34 87 59-71 fd ac 33 c8 1c e7 a9   .....4.Yq..3....
      00c0 - 9a 6d b2 6e 43 ba 22 f3-83 ce 37 9d 69 9d de c0   .m.nC."...7.i...
      00d0 - 4b fe 2f 8d 3f d1 b1 e9-2b bc fc e1 f7 e1 da 71   K./.?...+......q
      00e0 - 7f c1 54 b6 b8 e7 84 1a-a2 ef cb a3 0c 4b 7e 2e   ..T..........K~.
      00f0 - 11 48 f4 29 b8 ba 11 d8-53 03 3a 2b 80 58 1f c1   .H.)....S.:+.X..
      0100 - 18 5b 3e 7f 59 50 3a 6c-a2 89 02 03 01 00 01      .[>.YP:l.......
 3237:d=6  hl=4 l= 393 cons:       cont [ 3 ]        
 3241:d=7  hl=4 l= 389 cons:        SEQUENCE          
 3245:d=8  hl=2 l=  31 cons:         SEQUENCE          
 3247:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Authority Key Identifier
 3252:d=9  hl=2 l=  24 prim:          OCTET STRING      
      0000 - 30 16 80 14 1e c5 b1 2c-7d 87 da 02 68 7c 25 bc   0......,}...h|%.
      0010 - 0c 07 84 3f b6 cf de f1-                          ...?....
 3278:d=8  hl=2 l=  29 cons:         SEQUENCE          
 3280:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Subject Key Identifier
 3285:d=9  hl=2 l=  22 prim:          OCTET STRING      
      0000 - 04 14 bc 26 da a5 bf c7-ea f4 e3 75 a8 d7 df b5   ...&.......u....
      0010 - 32 ec a4 7e 7d 02                                 2..~}.
 3309:d=8  hl=2 l=  14 cons:         SEQUENCE          
 3311:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Key Usage
 3316:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
 3319:d=9  hl=2 l=   4 prim:          OCTET STRING      
      0000 - 03 02 07 80                                       ....
 3325:d=8  hl=2 l=  12 cons:         SEQUENCE          
 3327:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Basic Constraints
 3332:d=9  hl=2 l=   1 prim:          BOOLEAN           :255
 3335:d=9  hl=2 l=   2 prim:          OCTET STRING      
      0000 - 30                                                0
      0002 - <SPACES/NULS>
 3339:d=8  hl=2 l=  19 cons:         SEQUENCE          
 3341:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Extended Key Usage
 3346:d=9  hl=2 l=  12 prim:          OCTET STRING      
      0000 - 30 0a 06 08 2b 06 01 05-05 07 03 03               0...+.......
 3360:d=8  hl=2 l=  17 cons:         SEQUENCE          
 3362:d=9  hl=2 l=   9 prim:          OBJECT            :Netscape Cert Type
 3373:d=9  hl=2 l=   4 prim:          OCTET STRING      
      0000 - 03 02 04 10                                       ....
 3379:d=8  hl=2 l=  70 cons:         SEQUENCE          
 3381:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 Certificate Policies
 3386:d=9  hl=2 l=  63 prim:          OCTET STRING      
      0000 - 30 3d 30 3b 06 0c 2b 06-01 04 01 b2 31 01 02 01   0=0;..+.....1...
      0010 - 03 02 30 2b 30 29 06 08-2b 06 01 05 05 07 02 01   ..0+0)..+.......
      0020 - 16 1d 68 74 74 70 73 3a-2f 2f 73 65 63 75 72 65   ..https://secure
      0030 - 2e 63 6f 6d 6f 64 6f 2e-6e 65 74 2f 43 50 53      .comodo.net/CPS
 3451:d=8  hl=2 l=  65 cons:         SEQUENCE          
 3453:d=9  hl=2 l=   3 prim:          OBJECT            :X509v3 CRL Distribution Points
 3458:d=9  hl=2 l=  58 prim:          OCTET STRING      
      0000 - 30 38 30 36 a0 34 a0 32-86 30 68 74 74 70 3a 2f   0806.4.2.0http:/
      0010 - 2f 63 72 6c 2e 63 6f 6d-6f 64 6f 63 61 2e 63 6f   /crl.comodoca.co
      0020 - 6d 2f 43 4f 4d 4f 44 4f-43 6f 64 65 53 69 67 6e   m/COMODOCodeSign
      0030 - 69 6e 67 43 41 32 2e 63-72 6c                     ingCA2.crl
 3518:d=8  hl=2 l= 114 cons:         SEQUENCE          
 3520:d=9  hl=2 l=   8 prim:          OBJECT            :Authority Information Access
 3530:d=9  hl=2 l= 102 prim:          OCTET STRING      
      0000 - 30 64 30 3c 06 08 2b 06-01 05 05 07 30 02 86 30   0d0<..+.....0..0
      0010 - 68 74 74 70 3a 2f 2f 63-72 74 2e 63 6f 6d 6f 64   http://crt.comod
      0020 - 6f 63 61 2e 63 6f 6d 2f-43 4f 4d 4f 44 4f 43 6f   oca.com/COMODOCo
      0030 - 64 65 53 69 67 6e 69 6e-67 43 41 32 2e 63 72 74   deSigningCA2.crt
      0040 - 30 24 06 08 2b 06 01 05-05 07 30 01 86 18 68 74   0$..+.....0...ht
      0050 - 74 70 3a 2f 2f 6f 63 73-70 2e 63 6f 6d 6f 64 6f   tp://ocsp.comodo
      0060 - 63 61 2e 63 6f 6d                                 ca.com
 3634:d=5  hl=2 l=  13 cons:      SEQUENCE          
 3636:d=6  hl=2 l=   9 prim:       OBJECT            :sha1WithRSAEncryption
 3647:d=6  hl=2 l=   0 prim:       NULL              
 3649:d=5  hl=4 l= 257 prim:      BIT STRING        
      0000 - 00 79 83 ef 8b 29 64 bd-c2 48 70 a0 42 23 f0 36   .y...)d..Hp.B#.6
      0010 - bc 7c 22 0a b9 73 ba 42-45 bd 76 dc 56 50 92 a2   .|"..s.BE.v.VP..
      0020 - f0 3c ad 01 db 95 9e f4-49 d8 14 66 4d 73 e8 d7   .<......I..fMs..
      0030 - e6 d9 77 65 c9 22 8d eb-31 c3 6e 93 05 65 08 5b   ..we."..1.n..e.[
      0040 - e2 c1 17 fc 35 13 7c b5-1f 77 51 e3 cf d1 ef c3   ....5.|..wQ.....
      0050 - 3a 86 10 0f 68 9e e4 73-a6 a0 54 2f 7b 99 9f 4e   :...h..s..T/{..N
      0060 - 3b a2 e8 b1 f0 8b b7 03-d1 d5 49 f1 67 f5 0f 0c   ;.........I.g...
      0070 - 99 af 5c 6a f0 03 a2 36-88 ea 89 af bc 5d ca a9   ..\j...6.....]..
      0080 - b7 4d 4a 0f 12 0f 7e 6b-a4 43 31 d0 43 6e 67 f9   .MJ...~k.C1.Cng.
      0090 - d8 60 01 3d 58 ad 19 07-fc b3 a1 ba c1 6e 47 c7   .`.=X........nG.
      00a0 - 7f e9 54 3a 32 91 36 ad-3c 8d 71 b1 e1 63 76 29   ..T:2.6.<.q..cv)
      00b0 - e1 98 c1 22 cd b4 8b b2-76 15 34 ca 42 7c f3 66   ..."....v.4.B|.f
      00c0 - e2 4c f9 8c 48 57 1d 2a-d6 47 1d ff 4e 5e 07 7f   .L..HW.*.G..N^..
      00d0 - 4d 60 90 f1 e2 0c 60 b6-18 74 c2 cf 10 29 86 59   M`....`..t...).Y
      00e0 - bf 62 12 a0 0d d8 80 f7-fd 7c 3e 1f 16 a5 5d d5   .b.......|>...].
      00f0 - 55 01 d9 63 59 30 83 ad-76 da 1f f7 fd c3 25 bb   U..cY0..v.....%.
      0100 - c0                                                .
 3910:d=3  hl=4 l= 553 cons:    SET               
 3914:d=4  hl=4 l= 549 cons:     SEQUENCE          
 3918:d=5  hl=2 l=   1 prim:      INTEGER           :01
 3921:d=5  hl=3 l= 143 cons:      SEQUENCE          
 3924:d=6  hl=2 l= 123 cons:       SEQUENCE          
 3926:d=7  hl=2 l=  11 cons:        SET               
 3928:d=8  hl=2 l=   9 cons:         SEQUENCE          
 3930:d=9  hl=2 l=   3 prim:          OBJECT            :countryName
 3935:d=9  hl=2 l=   2 prim:          PRINTABLESTRING   :GB
 3939:d=7  hl=2 l=  27 cons:        SET               
 3941:d=8  hl=2 l=  25 cons:         SEQUENCE          
 3943:d=9  hl=2 l=   3 prim:          OBJECT            :stateOrProvinceName
 3948:d=9  hl=2 l=  18 prim:          PRINTABLESTRING   :Greater Manchester
 3968:d=7  hl=2 l=  16 cons:        SET               
 3970:d=8  hl=2 l=  14 cons:         SEQUENCE          
 3972:d=9  hl=2 l=   3 prim:          OBJECT            :localityName
 3977:d=9  hl=2 l=   7 prim:          PRINTABLESTRING   :Salford
 3986:d=7  hl=2 l=  26 cons:        SET               
 3988:d=8  hl=2 l=  24 cons:         SEQUENCE          
 3990:d=9  hl=2 l=   3 prim:          OBJECT            :organizationName
 3995:d=9  hl=2 l=  17 prim:          PRINTABLESTRING   :COMODO CA Limited
 4014:d=7  hl=2 l=  33 cons:        SET               
 4016:d=8  hl=2 l=  31 cons:         SEQUENCE          
 4018:d=9  hl=2 l=   3 prim:          OBJECT            :commonName
 4023:d=9  hl=2 l=  24 prim:          PRINTABLESTRING   :COMODO Code Signing CA 2
 4049:d=6  hl=2 l=  16 prim:       INTEGER           :2ADD435C1DADC0E7E280AF6EEC2160C4
 4067:d=5  hl=2 l=   9 cons:      SEQUENCE          
 4069:d=6  hl=2 l=   5 prim:       OBJECT            :sha1
 4076:d=6  hl=2 l=   0 prim:       NULL              
 4078:d=5  hl=2 l= 112 cons:      cont [ 0 ]        
 4080:d=6  hl=2 l=  16 cons:       SEQUENCE          
 4082:d=7  hl=2 l=  10 prim:        OBJECT            :1.3.6.1.4.1.311.2.1.12
 4094:d=7  hl=2 l=   2 cons:        SET               
 4096:d=8  hl=2 l=   0 cons:         SEQUENCE          
 4098:d=6  hl=2 l=  25 cons:       SEQUENCE          
 4100:d=7  hl=2 l=   9 prim:        OBJECT            :contentType
 4111:d=7  hl=2 l=  12 cons:        SET               
 4113:d=8  hl=2 l=  10 prim:         OBJECT            :1.3.6.1.4.1.311.2.1.4
 4125:d=6  hl=2 l=  28 cons:       SEQUENCE          
 4127:d=7  hl=2 l=  10 prim:        OBJECT            :1.3.6.1.4.1.311.2.1.11
 4139:d=7  hl=2 l=  14 cons:        SET               
 4141:d=8  hl=2 l=  12 cons:         SEQUENCE          
 4143:d=9  hl=2 l=  10 prim:          OBJECT            :Microsoft Individual Code Signing
 4155:d=6  hl=2 l=  35 cons:       SEQUENCE          
 4157:d=7  hl=2 l=   9 prim:        OBJECT            :messageDigest
 4168:d=7  hl=2 l=  22 cons:        SET               
 4170:d=8  hl=2 l=  20 prim:         OCTET STRING      
      0000 - 13 31 e2 a9 34 e8 0d c2-e2 df d9 c8 0c 35 0a 28   .1..4........5.(
      0010 - ce 81 be ba                                       ....
 4192:d=5  hl=2 l=  13 cons:      SEQUENCE          
 4194:d=6  hl=2 l=   9 prim:       OBJECT            :rsaEncryption
 4205:d=6  hl=2 l=   0 prim:       NULL              
 4207:d=5  hl=4 l= 256 prim:      OCTET STRING      
      0000 - 28 e0 42 2a 9f 97 13 eb-7b 53 43 19 18 dd 6d f4   (.B*....{SC...m.
      0010 - 84 9c a2 6f d0 b3 76 e2-2b 63 17 b5 e7 a9 cf 5c   ...o..v.+c.....\
      0020 - 33 e8 51 42 30 47 0e 61-5a a7 ae e6 52 e4 bd b0   3.QB0G.aZ...R...
      0030 - 1c 40 20 4c 17 f0 11 e6-84 c4 76 0e cc 04 7e d1   .@ L......v...~.
      0040 - 03 23 dc 16 3a 69 b4 ba-cb 5e 1c 7b 8b c3 73 3c   .#..:i...^.{..s<
      0050 - 1c 26 e1 0c 1e cb 93 6d-e5 40 0e dc be 1d ab 8c   .&.....m.@......
      0060 - e5 c8 90 c1 21 fa ed c5-c1 54 ac 7c f0 8f 07 87   ....!....T.|....
      0070 - 90 d0 c4 f4 1e 57 c8 45-e7 2a 33 af 09 1a 8c d7   .....W.E.*3.....
      0080 - 17 8a e1 54 41 b5 62 2a-25 85 d4 3c 33 3c 71 41   ...TA.b*%..<3<qA
      0090 - 88 2b 33 f1 c9 59 a6 89-a1 1b 94 0f 97 21 60 d3   .+3..Y.......!`.
      00a0 - a7 8f 42 12 59 26 26 62-2c 61 6c ba 56 7f 56 f5   ..B.Y&&b,al.V.V.
      00b0 - 39 7f 05 02 0d 19 7d bd-dc 1e 77 13 07 07 a8 78   9.....}...w....x
      00c0 - 57 47 95 b7 0a a5 2e 1c-79 55 f5 f8 87 67 2d 86   WG......yU...g-.
      00d0 - ba 60 10 e4 0a e8 76 7f-16 30 99 46 90 38 23 36   .`....v..0.F.8#6
      00e0 - 32 50 77 e7 96 c9 fb e9-43 0f 7d 4a 0d 82 57 52   2Pw.....C.}J..WR
      00f0 - 58 92 bb fb 5c 10 95 6c-d7 6a 54 1b 27 e4 43 fb   X...\..l.jT.'.C.
 4467:d=0  hl=2 l=   0 prim: EOC               
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 12 août 2015 18:30

Bonjour,

Aujourd'hui, lors d'une routine de traitements sur les signatures d'échantillons de différents services, l'échantillon D305FF45C19FE7EDB798D02C1A66401C collecté par la plateforme VXV a été mentionné dans un tweet de Marc Ochsenmeier.

Contenu du tweet : A Dridex #malware sample (D305FF45C19FE7EDB798D02C1A66401C) focused on the Active Directory Domain Services! http://t.co/Vd0ERj7a2z

Le lien hypertexte à la fin du message retourne une capture d'écran de l'échantillon analysé via PEStudio et... Marc Ochsenmeier n'est autre que l'auteur de PEStudio.

Un rapide coup d'œil permet de nuancer le message de Marc.
Image

En effet, la table n'est autre que celle du packer.
Et les imports de la table ne sont pas utilisées.
Les services Active Directory peuvent respirer.

Différences de timestamp entre packer & malware.
Image

Le programme malveillant a un poids d'~95 Ko.
Dans l'ensemble, on retrouve les CnC habituels.

78.47.119.85:543
212.47.196.149:543
68.169.49.213:448
201.175.17.35:448


L'IP 212.47.196.149 fait référence à un sujet de Conrad Longmore et ces faux fichiers audios au format ".WAV" font étrangement penser à mon sujet sur Dridex & les raccourcis piégés (LNK) + VBE.

Profitons de l'aparté pour remercier Marc Ochsenmeier. PEStudio est un sympathique utilitaire mais comme son nom l'indique c'est du "Malware Early Triage". En clair, ne vous fiez pas forcément aux premiers résultats.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 12 août 2015 20:14

Bonjour,

Un tweet qui signale, une nouvelle fois, la présence d'un Dridex signé. ( Merci PhysicalDrive0 )

Code : Tout sélectionner

        Verified:       Signed
        Signers:
           Afet
                Status:         Valid
                Valid Usage:    Code Signing
                Serial Number:  11 B0 FE DD D5 9B 27 30 B5 BE 6C 7F A7 FD B3 3D
                Thumbprint:     F3E79ADAFA606F569D1A2080F39569820A1656EF
                Algorithm:      SHA-256
                Valid from:     02:00 02/08/2015
                Valid to:       01:59 24/07/2016
           COMODO RSA Code Signing CA
                Status:         Valid
                Valid Usage:    Code Signing
                Serial Number:  2E 7C 87 CC 0E 93 4A 52 FE 94 FD 1C B7 CD 34 AF
                Thumbprint:     B69E752BBE88B4458200A7C0F4F5B3CCE6F35B47
                Algorithm:      SHA-384
                Valid from:     02:00 09/05/2013
                Valid to:       01:59 09/05/2028
           COMODO
                Status:         Valid
                Valid Usage:    Server Auth, Client Auth,
                                Email Protection, Code Signing, Timestamp Signing,
                                EFS, IPSEC Tunnel, IPSEC User
                Serial Number:  4C AA F9 CA DB 63 6F E0 1F F7 4E D8 5B 03 86 9D
                Thumbprint:     AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4
                Algorithm:      SHA-384
                Valid from:     02:00 19/01/2010
                Valid to:       01:59 19/01/2038
        Signing date:   14:05 12/08/2015
        Counter Signers:
           COMODO Time Stamping Signer
                Status:         Valid
                Valid Usage:    Timestamp Signing
                Serial Number:  00 9F EA C8 11 B0 F1 62 47 A5 FC 20 D8 05 23 AC E6
                Thumbprint:     DF946A5E503015777FD22F46B5624ECD27BEE376
                Algorithm:      SHA1
                Valid from:     02:00 05/05/2015
                Valid to:       01:59 01/01/2016
           USERTrust
                Status:         Valid
                Valid Usage:    EFS, Timestamp Signing,
                                Code Signing
                Serial Number:  44 BE 0C 8B 50 00 24 B4 11 D3 36 2D E0 B3 5F 1B
                Thumbprint:     E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46
                Algorithm:      SHA1
                Valid from:     20:31 09/07/1999
                Valid to:       20:40 09/07/2019
        Publisher:      Afet
        Prod version:   .984..9
        File version:   .984..9
        MachineType:    32-bit
        Binary Version: 0.0.0.0
        Original Name:  InfusesPercolatorLeanings.exe
        Internal Name:  InfusesPercolatorLeanings.exe
        Entropy:        7.315
        MD5: 35646E6BB33303E35A685580222BDF78
        SHA1: 24A4BCFECFE7CCC003367814ED8D38202FB88B3D
        SHA512: 3C2D488902CC7B3D1C253AE2B9EA330BB90BB6BE2D92702326F591786CD1A3C9

Code : Tout sélectionner

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:b0:fe:dd:d5:9b:27:30:b5:be:6c:7f:a7:fd:b3:3d
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Code Signing CA
        Validity
            Not Before: Aug  2 00:00:00 2015 GMT
            Not After : Jul 23 23:59:59 2016 GMT
        Subject: C=UA/postalCode=61000, ST=Harkov, L=Kharkiv/streetAddress=97 vul.Myronosytska, O=Afet, CN=Afet
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:ba:0c:5c:6f:45:de:36:41:20:76:68:e2:43:8e:
                    b6:54:bf:09:bb:7b:ad:64:68:15:d7:57:03:a3:09:
                    e2:61:80:6a:e3:ff:32:d8:90:f2:3b:53:e4:a6:d6:
                    d4:15:bb:e4:1e:cc:04:e0:42:21:39:c4:88:7b:d4:
                    86:3e:52:92:8f:c7:09:42:cc:aa:b8:26:a7:9b:1f:
                    58:e5:2d:f8:79:34:80:87:5d:e8:c3:57:b3:5e:00:
                    cd:8e:cd:33:1b:8c:ad:cf:62:9b:90:12:0f:35:86:
                    fa:fe:58:20:59:12:45:46:7a:d0:a3:0a:12:b9:ce:
                    a0:9c:3a:0a:6d:e9:19:35:ad:e2:8a:1c:e6:7c:72:
                    ec:d9:ff:27:1a:a0:cf:6f:bc:0e:15:6f:0a:50:3f:
                    e8:eb:f1:a4:86:ad:62:d8:a6:95:7d:8f:e8:05:35:
                    56:49:d6:d8:4a:ce:85:75:02:6a:d9:ea:50:a4:59:
                    46:8d:b1:38:a4:37:73:aa:38:ca:c2:67:26:e1:9c:
                    40:30:5e:da:c4:e3:4a:4d:c3:57:af:ca:2e:aa:3e:
                    aa:49:84:a1:31:a0:a5:3c:ef:20:bf:42:20:16:ce:
                    70:cd:68:6d:31:e0:cd:69:3f:be:cb:08:5c:19:ee:
                    f5:c2:3e:c9:8e:c4:48:e7:65:ee:dd:0e:66:2e:d8:
                    5a:0b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier: 
                keyid:29:91:60:FF:8A:4D:FA:EB:F9:A6:6A:B8:CF:F9:E6:4B:BD:49:CE:12

            X509v3 Subject Key Identifier: 
                6B:A4:D9:E5:D2:0C:97:62:46:32:62:23:C0:36:8F:B3:24:CF:E3:64
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Extended Key Usage: 
                Code Signing
            Netscape Cert Type: 
                Object Signing
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.6449.1.2.1.3.2
                  CPS: https://secure.comodo.net/CPS

            X509v3 CRL Distribution Points: 
                URI:http://crl.comodoca.com/COMODORSACodeSigningCA.crl

            Authority Information Access: 
                CA Issuers - URI:http://crt.comodoca.com/COMODORSACodeSigningCA.crt
                OCSP - URI:http://ocsp.comodoca.com

            X509v3 Subject Alternative Name: 
                email:afet@e-mail.ua
    Signature Algorithm: sha256WithRSAEncryption
        25:8a:c8:1a:87:dc:f8:62:77:c6:05:0a:00:53:c1:bd:27:3a:
        09:d7:f7:8b:06:7f:07:f4:aa:4c:7c:73:2f:48:18:f4:96:87:
        24:7e:cd:60:7c:70:50:16:86:88:12:83:2d:ac:ea:b5:84:aa:
        bd:c9:26:e7:18:55:68:aa:ad:34:2f:18:37:8e:ca:e7:25:2c:
        2c:e5:c7:8a:30:ec:51:a1:92:f6:1d:11:6a:9d:0d:20:cf:bc:
        4c:92:57:95:7a:44:77:23:07:13:80:53:9e:96:df:0b:c4:0e:
        a7:e4:97:d3:57:5e:0e:4f:ec:dc:ce:1e:36:4e:d2:1e:4c:45:
        aa:80:a3:58:33:c7:c1:7f:f6:d6:8e:7d:e4:0c:e5:18:c4:6b:
        27:64:3c:18:60:2f:68:b6:a0:ce:99:20:0e:ce:63:db:06:e4:
        1a:cc:a0:83:9b:01:d8:6a:2f:12:16:70:72:df:22:5c:24:4a:
        17:f7:d8:e3:40:4d:3f:c1:96:32:6f:47:79:4a:2d:9d:95:af:
        ef:f3:7c:ab:80:36:d7:21:2c:a3:56:80:d2:02:15:5b:99:76:
        52:c8:7c:81:a7:48:23:50:07:4a:9d:24:87:26:9e:40:a7:d7:
        9c:a0:8d:f4:bd:3b:79:2e:c2:43:13:b3:5d:cd:dc:79:08:0f:
        5f:27:14:0f
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 26 oct. 2015 23:00

Bonjour,

L'aventure continue suite à l'arrestation du cerveau présumé du botnet Dridex. Le botnet n'a pas été décapité et reste toujours très actif. Invincea a dernièrement rédigé un billet intitulé Dridex Returns with a Vengeance, Targeting French Users and Employing Comodo Signed Certificates. Avec tout le respect que l'on doit aux chercheurs d'Invincea, ça ne date pas de l'arrestation ; rien de nouveau à souligner.

"Furthermore, this malware was code signed by Comodo, a security company that provides digital certificates for software and websites. Enterprises that whitelist signed executables would have been particularly vulnerable to this attack"

Ce n'est pas les binaires signés par COMODO qui manquent, voir quelques exemples dans ce sujet. Concernant les factures, même chose, lire campagnes de courriels piégés avec fausses factures sous Word/Excel. Quant à l'utilisation du mot "vengeance" sur la France, sauf détails croustillants non publiés à ce jour, aucune preuve scientifique pour étayer et justifier ce terme donc pure spéculation. La France avait déjà été bien arrosée durant l'été 2015, lire Diffusion du botnet Dridex en août 2015 ( p. 59 / 206 ) + alertes CERTFR-2015-ACT-017 & CERTFR-2015-ALE-012

A noter l'apparition du compte Twitter @DridexBOT ( du 10 octobre 2015 au 23 décembre 2015 )
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagne Dridex - documents Microsoft Word & Excel piégé

Message par ѠOOT » 27 oct. 2015 16:23

Bonjour,

Lexsi Security Hub présente une partie des bas fonds avec l'article Dridex + Bruteres : la machine à spam Dridex vue de l’intérieur

Modulaire : Dridex est en effet capable de transformer n’importe quel poste infecté
en machine à spam qui va propager les fameux documents Microsoft Office Dridex.


Le botnet Dridex est divisé en plusieurs sous-botnets identifiés par un entier botid
Les sous-botnets les plus actifs en Europe jusqu’à présent ont été :

⬜ Le botnet 120 ( échantillon collecté ( cible la France entre juin à octobre 2015 ) )
⬜ Le botnet 121 ( plus rare )
⬜ Le botnet 200
⬜ Le botnet 220 ( échantillon collecté )
⬜ Le botnet 301 ( échantillon collecté )

Encore une fois, Dridex semble s'appuyer sur des programmes tiers afin de mener à bien ses opérations malveillantes. A l'aide d'un malware peu sophistiqué : Bruteres ( aka Fidobot.A / Trubsil.C), le botnet a été capable d'envoyer des millions d'emails piégés. Grâce à l'analyse de ce malware, nous avons ainsi pu voir la manière dont les spams Dridex sont construits et envoyés.

... lire la suite chez Lexsi + Dridex botnet 220 : Ammyy Admin

Liens connexes:
→ Appel à la vigilance : Les campagnes Dridex avec fausses factures continuent.

Cartographie du botnet Dridex #220 au 23 octobre 2015
Image

Cartographie du botnet Dridex #301 au 26 octobre 2015
Image

Cartographies de Peter Kruse, CSIS Security

Dridex actors resume operation with new distribution, Ursnif & Shifu banking Trojan
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagnes Dridex - documents Microsoft Word & Excel piég

Message par ѠOOT » 17 nov. 2015 19:00

Bonjour,

Depuis quelques heures, nous avons constaté une nette absence de nouveaux pourriels dans nos BAL témoins. En parallèle, nous constatons que bon nombre d'URLs de téléchargement des précédentes campagnes sont devenues indisponibles. Les codes erreurs capturés avant l'arrêt laissent à penser qu'il s'agit d'un dysfonctionnement en amont des gates, d'où la réaction en cascade sur les relais.

[BR] 187.5.6.136 (8008/TCP)
[DE] 84.200.52.52 (8080/TCP)
[FR] 178.32.136.167 (8880/TCP)
[FR] 178.33.167.120 (8880/TCP)
[GB] 78.129.133.249 (8880/TCP)
[GE] 213.157.198.39 (8880/TCP)
[ID] 103.252.100.44 (8880/TCP)
[IN] 117.239.73.244 (8880/TCP)
[NL] 185.70.187.241 (80/TCP)
[NL] 95.211.241.118 (8500/TCP)
[RO] 86.34.133.90 (8180/TCP)
[SV] 168.243.33.195 (8080/TCP)
[TH] 1.179.170.7 (8008/TCP)
[TH] 203.172.180.195 (8008/TCP)
[UA] 193.201.225.89 (80/TCP)
[UA] 91.223.88.54 (80/TCP)
[US] 199.175.55.116 (8080/TCP)
[US] 68.169.59.208 (8880/TCP)


Avant rupture, à intervalles courts, plusieurs mises à jour du même nom de fichier ont été observées.

→ SHA-256: 2E8A7FE250D97D0157A4AE4C4A675CCF5693DB2D5CF2F0409C72E8DF835BF94F
→ SHA-256: C7B262E98A3D03AF380BC1507B67E867590CFB7BE117EB17FF2C09CCB73FBB0E
→ SHA-256: F5CE698947E5AC2B3A01D2A46D8A62A3AD7F68175F28693667CD106A1224257D
...

Malgré les PE différents de ces dernières semaines, il s'agit au final du même malware et celui-ci est actif puisqu'il communique parfaitement avec la machine h1791119.stratoserver.net 85.214.152.31:4439/TCP de chez Strato Rechenzentrum AG située à Berlin en Allemagne.

A suivre...

Clin d'œil sur l'une des machines compromises qui diffuse l'échantillon SHA-256: E3AC1AA13026FEB600371D2AE37A55B682D3EFB857DD6573DA7987F7C01F52DE

Image

Les fichiers .PHP ( web-shell, web-mailer,.. ) sont des scripts connus.
La reconstruction de la chronologie vis à vis des dates ne laisse pas indifférent ;)
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagnes Dridex - documents Microsoft Word & Excel piég

Message par ѠOOT » 19 nov. 2015 18:49

Une vue également partagée avec les chercheurs de chez Proofpoint.

November 17 presented an interesting variation in Dridex and Shifu distribution techniques, as Proofpoint researchers observed both spreading via compromised websites that led to Exploit Kits. In these cases, the same compromised web site could infect a user with one Trojan or the other depending on the user's geographical location.[...]

Dridex rarely spreads via Exploit Kits. Some rare examples of this behavior include spreading via Angler EK in 2014 and via malvertising in Poland on May 2, 2015.[...]

Since their return to operation at the beginning of October, the threat actors behind these malicious document attachment campaigns have increased the volume and the variety of their campaigns. Even if it only lasted for a single day, the apparent substitution of Dridex spam with distribution via malvertising and EK shows that the Dridex threat actors increasing their efforts to vary their delivery and payloads, including leveraging a TDS to tailor the payload to the region of the victim. While it is too soon to claim that this is the start of a new trend for these actors, it does show these actors can adapt quickly and that organizations must be able to detect and stop these threats through a variety of vectors.


( November 18, 2015 ) http://proofpoint.com/us/threat-insight ... ts-day-off

Notes: Le kit d'exploitation de vulnérabilités Angler EK & le programme spécialisé dans le vol de données bancaires Dridex ont dernièrement été malmenés par les chercheurs en sécurité, les autorités et la justice.

ps: Merci à ... d'avoir envoyé 85.214.152.31:4439/TCP aux oubliettes quelques heures après publication.

A suivre, Dridex, v.3.161 ...
https://threatpost.com/dridex-borrows-t ... rs/115952/
https://www.grahamcluley.com/2016/01/dr ... customers/
http://securityintelligence.com/dridex- ... -accounts/

Shortcuts & local DNS poisoning
Image
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Campagnes Dridex - documents Microsoft Word & Excel piég

Message par ѠOOT » 04 févr. 2016 23:51

Moritz Kroll (Avira) a écrit :"The content behind the malware download URL has been replaced, it's now providing an original, up-to-date Avira web installer instead of the usual Dridex loader"

source : An unknown white hat hacker pwned a part of dridex botnet

Comme personne n'a le fin mot de cette histoire, ce "mystère" est vite devenu une belle accroche journalistique. Le titre très pompeux "Mystery hacker pwns Dridex Trojan botnet..." est à la limite de l'intox puisque vous l'aurez compris il ne s'agit ici que d'un vulgaire remplacement de fichier sur un serveur déjà compromis. C'était une occasion à ne pas manquer pour la société Avira afin de gagner un peu en visibilité sur le sujet auprès de ses principaux clients. C'est dingue comme le hasard fait bien les choses puisqu'on découvre un nouveau botid attribué à l'Allemagne et donc on peux facilement déduire qu'elle sera probablement ciblée dans les prochaines campagnes. Bref, tout ça manque un peu d'entropie...

→ Échantillon EE2F8489C8C375E931423BEF4F9C08FBA60EC600D521256FD5EEB8CA877E8325 sur VXV.
http://www.brycampbell.co.uk/new-blog/2 ... an-upgrade

Malicious actor combines personalized email, variety of malware to target executives
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86235
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes Dridex - documents Microsoft Word & Excel piég

Message par Malekal_morte » 01 mars 2016 13:39

Des emails malicieux sont envoyés au format Word et reprenant les campagnes précédentes Dridex, cette fois-ci pour pousser un du rançongiciel chiffreur de fichiers / Crypto-Ransomware du nom de Locky.

Les liens malekal.com : La France est assez visée par ces campagnes d'emails malicieux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86235
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes Dridex - documents Microsoft Word & Excel piégés

Message par Malekal_morte » 13 avr. 2017 09:40

Après une forte baisse ainsi que son petit frère Locky (cf Locky en baisse).
Tout cela est lié à la mise en sommeil du botnet Necurs.

Les campagnes d'emails piégés Dridex font leur retour.
Les entreprises vont devoir doubler de vigilance.
dridex-campagne-retour.png
Dridex email malicieux campagne
dridex-campagne-retour-2.png
Dridex email malicieux campagne
Les macros Office malicieuses et les VBS tiennent le haut du tableau dans le contenu de ces campagnes d'emails piégés.
Rien de vraiment nouveau et donc plutôt un retour à la normale.
dridex-email-malicieux-macro-office.png
Dridex email malicieux - Office malveillant
Exemple d'emails malicieux avec des pièces jointes en Office ou PDF :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86235
Inscription : 10 sept. 2005 13:57
Contact :

Re: Campagnes Dridex - documents Microsoft Word & Excel piégés

Message par Malekal_morte » 26 mai 2017 11:31

Kaspersky a publié un article sur les différentes versions et évolutions au cours du temps du Trojan Dridex.
Première détection en Septembre 2011.
Il s'agissait d'une variante capable de se propager par clé USB : Worm.Win32.Cridex.

La version 1.10 (Juin 2014) possédait beaucoup de similitudes avec Zeus GameOvert dans les premières versions
Puis différentes évolutions, comme des tentatives de contourner l'UAC (contrôle des comptes utilisateurs).
dridex_vs_zeus-gameover.png
Trojan Dridex VS Zeus GameOvert
2015, en version 2, le botnet Dridex passe en mode de communication P2P.
Version 3 et 4 sont des améliorations du protocole de communication qui passe en chiffré et rendre l'analyses du cheval de troie plus difficile.

Kaspersky estime que les auteurs de Dridex ont pu voler environ 40 millions de dollars en 2016.
La distribution de Dridex dans le monde, la France est relativement ciblée.
L'Europe assez fortement par rapport aux USA, ce qui est assez rare.
dridex_distribution.png
Distribution du Trojan Didrex

source : Dridex: A History of Evolution
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités