Bonjour,
Depuis plusieurs jours, la France comme d'autres pays est sévèrement arrosée de pourriels qui contiennent en pièce jointe des documents Microsoft Word & Excel piégés par des macros malveillantes qui font télécharger et exécuter silencieusement Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires. Ce n'est pas la première fois et ce ne sera pas la dernière ; déjà en février 2015, j'abordais le sujet "Documents malveillants : macros-commandes VBA + PowerShell" ; les mois suivants plusieurs alertes avaient été émises. ( France : recrudescence des attaques par macros malveillantes ).
Le 15 juin 2015, le CERT-FR a publié un bulletin d'information ( section 2 ) dans lequel est pointé un taux de blocage par passerelles antispam relativement faible. "Les formats MIME HTML & XML ont l'avantage pour les attaquants d'être souvent moins bien détectés par les antivirus." Vraiment? Entre nous si c'est le cas, remplacez immédiatement votre solution de sécurité.
Dridex n'est pas le seul à utiliser cette méthode, Dyre / Dyreza, un programme également spécialisé dans le vol de données bancaires, utilise aussi les documents piégés avec macros. Dyre est généralement distribué par Upatre. Celui-ci est encore plus fourbe du fait qu'il soit capable d'infecter les relations de confiance en usurpant leurs identités. La victime devient à son tour "expéditeur" des futurs courriels piégés.
"Une méthode particulièrement perfide est notamment utilisée pour propager ce maliciel. Lorsqu'une machine est infectée, des e-mails contenant le maliciel seront envoyés à travers le compte de la victime et à son nom, à tous ses contacts. Ainsi, l'e-mail contenant une pièce jointe malicieuse atteint-il l'ensemble des contacts d'une personne ou entreprise. Etant donné que ces derniers connaissent l'expéditeur de l'e-mail et lui font confiance, il y a de fortes chances pour que ces personnes n'ouvrent la pièce jointe, soient infectées, puis mettent par la suite en danger leurs propres connaissances ou clients."
( Suisse : MELANI - Alerte : propagation massive )
Cette technique engendre un cercle vicieux et c'est ce qui explique en partie pourquoi il a déjà occasionné de sérieux dommages. ( Rapport IBM : The Dyre wolf: Attacks on corporate banking accounts )
Concernant Dridex, jusqu'ici je n'ai pas écrit grand chose sur ce forum car c'est un sujet bien connu et assez médiatisé. Ma seule contribution porte sur une rectification autour d'une information erronée concernant de possibles "piratages de routeur". Aujourd'hui, ce qui me pousse à ouvrir le sujet c'est avant tout de relayer les alertes et promouvoir de nouveaux outils qui peuvent s'avérer utiles.
L'outil de CERT LEXSI permet de : vérifier, par rapport à des marqueurs, si une machine est infectée par DRIDEX ( lire les explications d'usage ). Pour les Administrateurs, un script PowerShell dridex.ps1 à exécuter sur tous les postes infectés est également disponible. En cas de doutes, vérifiez vos machines. Ces cas sont nombreux sur les forums d'entre-aide ; dernièrement sur Malekal.com : Suis-je potentiellement infecté par le "virus" dridex ? et sur l'espace de CommentÇaMarche.
Just-Metadata de Chris Truncer s'adresse principalement aux administrateurs. L'outil permet d'utiliser les indicateurs de compromission (IOC) de Dridex comme expliqué dans cet exemple.
N'attendez pas la prochaine campagne de Dridex pour vous faire plumer le portefeuille, informez-vous. Vous avez des courriels avec fichiers suspects ( Documents Office, etc.. ) ? Zippez et envoyez vos fichiers via le formulaire d'envoi de Malekal. Les échantillons sur MDB sont à disposition des communautés et sont systématiquement scannés, analysés, partagés,.. Vous participez ainsi activement à la lutte.
Campagnes Dridex - documents Microsoft Word & Excel piégés
Campagnes Dridex - documents Microsoft Word & Excel piégés
Dernière modification par ѠOOT le 29 juin 2015 04:03, modifié 3 fois.
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
Comme nous sommes dans la section "Tech, Tips & Tricks", il serait anormal de ne pas ajouter quelques trucs sur Dridex. Prenons par exemple, ces échantillons sur VXV. Pour extraire la config à partir d'un Dridex dépacké, sans se fatiguer ; doigts de pied en éventail, il suffira de rechercher la séquence POPAD suivi d'un RET. Pour vous éviter de suinter, ça ressemble à quelque chose comme ça. Un point d'arrêt & quelques pas plus loin, vous obtiendrez les adresses C2 suivi d'un PE.
<config botnet="220">
<server_list>
71.14.1.139:8443
173.230.130.172:2443
94.23.53.23:2443
176.99.6.10:8443
</server_list>
</config>
Un jour de grande chaleur où vous n'aurez rien de mieux à faire, vous pourrez vous changer les idées en décortiquant les petits xor et autres cochonneries pour finalement vous passer du débogueur en codant un extracteur de configuration Dridex digne de ce nom. Comme tout le monde le sait ( ah bon.. ) Dridex injecte un module ( une .dll ; 32 ou 64 bits ) qu'il va d'abord réccupérer en contactant le C2. Tant qu'à faire, la bestiole se permet de transmettre aux "botherders" ( aux attaquants quoi.. ) la liste des logiciels installés chez la victime.
<loader>
<get_module unique="MAMACHINE_0123456789abcdef0123456789abcdef" botnet="220" system="2600" name="bot" bit="32"/>
<soft>
<![CDATA[Adibou;...;Starting path: 5]]>
</soft>
</loader>
Le serveur répondra à la demande avec une structure qui ressemble à:
<root>
<nodes>...</nodes>
<module name="bot" bit="32">...</module>
</root>
La librairie tente généralement de se faire passer pour une bibliothèque de Microsoft.
On y croirait presque, hein ? À l'exception près qu'elle est légèrement en russe.
Et puis de toute façon ce n'est qu'une façade car son véritable nom est différent.
Name: 0x0004D25C ("worker_x32.dll")
TimeDateStamp: 0x557EF5C6 (GMT: Mon Jun 15 15:56:54 2015)
Il y a deux jours lors de l'analyse, les détections étaient plutôt x_X
Mais depuis, grâce aux enzymes gloutons du Polypipo actif, ^_^
[reklam] À part ça, si vous n'avez rien à lire sur la plage et que vous avez encore 12.90 € après l'achat de votre maillot de bain, vous pouvez vous procurer le splendide hors-série "Outils de sécurité". [/reklam]
Liens connexes:
➱ ( June 18, 2015 ) ❴ Analyse détaillée d'un dropper du malware Dridex ❵
➱ ( June 19, 2015 ) ❴ Evolution of Dridex malware ❵
➱ ( August 6, 2015 ) ❴ La Gendarmerie française appelle à la vigilance face à Dridex ❵
➱ ( November 17, 2015 ) ❴ Talking to Dridex (part 0) – inside the dropper ❵
➱ ( November 25, 2015 ) ❴ DRIDEX Spam Runs Resurface Against US Targets ❵
➱ ( December 17, 2015 ) ❴ Dridex & Process Hollowing ❵
➱ ( June 1, 2016 ) ❴ Poses as Fake Certificate in Latest Spam Run ❵
➱ ( June 23, 2016 ) ❴ Hello old friend: DRIDEX at it again ❵
Comme nous sommes dans la section "Tech, Tips & Tricks", il serait anormal de ne pas ajouter quelques trucs sur Dridex. Prenons par exemple, ces échantillons sur VXV. Pour extraire la config à partir d'un Dridex dépacké, sans se fatiguer ; doigts de pied en éventail, il suffira de rechercher la séquence POPAD suivi d'un RET. Pour vous éviter de suinter, ça ressemble à quelque chose comme ça. Un point d'arrêt & quelques pas plus loin, vous obtiendrez les adresses C2 suivi d'un PE.
<config botnet="220">
<server_list>
71.14.1.139:8443
173.230.130.172:2443
94.23.53.23:2443
176.99.6.10:8443
</server_list>
</config>
Un jour de grande chaleur où vous n'aurez rien de mieux à faire, vous pourrez vous changer les idées en décortiquant les petits xor et autres cochonneries pour finalement vous passer du débogueur en codant un extracteur de configuration Dridex digne de ce nom. Comme tout le monde le sait ( ah bon.. ) Dridex injecte un module ( une .dll ; 32 ou 64 bits ) qu'il va d'abord réccupérer en contactant le C2. Tant qu'à faire, la bestiole se permet de transmettre aux "botherders" ( aux attaquants quoi.. ) la liste des logiciels installés chez la victime.
<loader>
<get_module unique="MAMACHINE_0123456789abcdef0123456789abcdef" botnet="220" system="2600" name="bot" bit="32"/>
<soft>
<![CDATA[Adibou;...;Starting path: 5]]>
</soft>
</loader>
Le serveur répondra à la demande avec une structure qui ressemble à:
<root>
<nodes>...</nodes>
<module name="bot" bit="32">...</module>
</root>
La librairie tente généralement de se faire passer pour une bibliothèque de Microsoft.
On y croirait presque, hein ? À l'exception près qu'elle est légèrement en russe.
Et puis de toute façon ce n'est qu'une façade car son véritable nom est différent.
Name: 0x0004D25C ("worker_x32.dll")
TimeDateStamp: 0x557EF5C6 (GMT: Mon Jun 15 15:56:54 2015)
Il y a deux jours lors de l'analyse, les détections étaient plutôt x_X
Mais depuis, grâce aux enzymes gloutons du Polypipo actif, ^_^
[reklam] À part ça, si vous n'avez rien à lire sur la plage et que vous avez encore 12.90 € après l'achat de votre maillot de bain, vous pouvez vous procurer le splendide hors-série "Outils de sécurité". [/reklam]
Liens connexes:
➱ ( June 18, 2015 ) ❴ Analyse détaillée d'un dropper du malware Dridex ❵
➱ ( June 19, 2015 ) ❴ Evolution of Dridex malware ❵
➱ ( August 6, 2015 ) ❴ La Gendarmerie française appelle à la vigilance face à Dridex ❵
➱ ( November 17, 2015 ) ❴ Talking to Dridex (part 0) – inside the dropper ❵
➱ ( November 25, 2015 ) ❴ DRIDEX Spam Runs Resurface Against US Targets ❵
➱ ( December 17, 2015 ) ❴ Dridex & Process Hollowing ❵
➱ ( June 1, 2016 ) ❴ Poses as Fake Certificate in Latest Spam Run ❵
➱ ( June 23, 2016 ) ❴ Hello old friend: DRIDEX at it again ❵
Dernière modification par ѠOOT le 19 juin 2015 12:09, modifié 1 fois.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Les courriels malicieux en Word visent clairement les entreprises.
Je n'ai reçu aucun sur les adresses @malekal.com
Fireye le confirme :
Je n'ai reçu aucun sur les adresses @malekal.com
Fireye le confirme :
Dridex targeted corporate banking accounts and successfully stole more than a million dollars from unsuspecting companies by transferring a large amount of money to various offshore accounts, and quickly moving money from one account to another, making reversal of the transaction often impossible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Dridex: Bel écrasement du MBR pour les utilisateurs de TOR
Bonjour,
J'allais indiquer la présence d'une nouvelle fonctionnalité d'écrasement du MBR mais @Lexsi a dégainé l'information via un tweet accompagné d'une capture d'écran. Et bien, merci à eux pour ce gain de temps.
Dridex CnC checks the IP address of infected systems.
For TOR IPs, you will get this nice MBR eraser as an answer.
J'allais indiquer la présence d'une nouvelle fonctionnalité d'écrasement du MBR mais @Lexsi a dégainé l'information via un tweet accompagné d'une capture d'écran. Et bien, merci à eux pour ce gain de temps.
Dridex CnC checks the IP address of infected systems.
For TOR IPs, you will get this nice MBR eraser as an answer.
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
Comme l'a souligné Malekal, de nouvelles campagnes avec documents Microsoft Office piégés sont actives en Europe. Et dernièrement les usagers des banques espagnoles & anglo-saxonnes ont été particulièrement ciblés par Dyre. Aujourd'hui, je prends 2 petites minutes pour pointer un échantillon du doigt.
Ce document Microsoft Word piégé contient des macros-commandes VBA, qui, une fois exécutées, entrainent le téléchargement & l'exécution d'un programme malveillant ( SHA1: 06872EF7F778DE86481E22A7021AEFA3D51EA693 ).
Ce programme se fait passer pour un autre, le codec "lameACM.acm", c-à-d Lame MP3. Jusque là, la routine. Mais la particularité, c'est que le programme est signé par "BSCP Limited".
Comme l'a souligné Malekal, de nouvelles campagnes avec documents Microsoft Office piégés sont actives en Europe. Et dernièrement les usagers des banques espagnoles & anglo-saxonnes ont été particulièrement ciblés par Dyre. Aujourd'hui, je prends 2 petites minutes pour pointer un échantillon du doigt.
Ce document Microsoft Word piégé contient des macros-commandes VBA, qui, une fois exécutées, entrainent le téléchargement & l'exécution d'un programme malveillant ( SHA1: 06872EF7F778DE86481E22A7021AEFA3D51EA693 ).
Ce programme se fait passer pour un autre, le codec "lameACM.acm", c-à-d Lame MP3. Jusque là, la routine. Mais la particularité, c'est que le programme est signé par "BSCP Limited".
Code : Tout sélectionner
Verified: Signed
Signers:
BSCP Limited
Status: Valid
Valid Usage: Code Signing
Serial Number: 2A:DD:43:5C:1D:AD:C0:E7:E2:80:AF:6E:EC:21:60:C4
Thumbprint: CE9FEFA5DCF8E5EBB7DF4271C23755EADA545FB3
Algorithm: SHA1
Valid from: 02:00 02/12/2014
Valid to: 01:59 03/12/2015
COMODO Code Signing CA 2
Status: Valid
Valid Usage: Code Signing
Serial Number: 10:70:9D:4F:F5:54:08:D7:30:60:01:D8:EA:91:75:BB
Thumbprint: B64771392538D1EB7A9281998791C14AFD0C5035
Algorithm: SHA1
Valid from: 02:00 24/08/2011
Valid to: 12:48 30/05/2020
UTN - USERFirst-Object
Status: Valid
Valid Usage: Timestamp Signing, Code Signing
Serial Number: 44:BE:0C:8B:50:00:24:B4:11:D3:36:2D:E0:B3:5F:1B
Thumbprint: E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46
Algorithm: SHA1
Valid from: 20:31 09/07/1999
Valid to: 20:40 09/07/2019
Signing date: n/a
Publisher: BSCP Limited
Description: Lame MP3 codec engine
Product: Lame MP3 codec
Prod version: 3.9.2
File version: 3.9.2
MachineType: 32-bit
Binary Version: 3.9.2.0
Original Name: lameACM.acm
Internal Name: lameACM
Copyright: Copyright ® 2002 Steve Lhomme, Copyright ® 2002-2007 The LAME Project
Comments: This is an ACM driver for Win32 using Lame to encode
Entropy: 6.234
MD5: 4A243F61F591CA616EBAA4FE4DF9507F
SHA1: 06872EF7F778DE86481E22A7021AEFA3D51EA693
PESHA1: 241EC2009D6FF9A0032020D7DBDE36F71ED5AF04
SHA256: EAF155B28526F32C7FE8D2B675C353FD58215B2E68B0E8A5D9D77CC0CC9B5B21
Code : Tout sélectionner
Certificate:
Data:
Version: 3 (0x2) Serial Number:
42:1a:f2:94:09:84:19:1f:52:0a:4b:c6:24:26:a7:4b
Signature Algorithm: sha1WithRSAEncryption Issuer: C=SE,
O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust
External CA Root Validity
Not Before: Jun 7 08:09:10 2005 GMT Not After : May 30
10:48:38 2020 GMT
Subject: C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object Subject
Public Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:ce:aa:81:3f:a3:a3:61:78:aa:31:00:55:95:11:
9e:27:0f:1f:1c:df:3a:9b:82:68:30:c0:4a:61:1d:
f1:2f:0e:fa:be:79:f7:a5:23:ef:55:51:96:84:cd:
db:e3:b9:6e:3e:31:d8:0a:20:67:c7:f4:d9:bf:94:
eb:47:04:3e:02:ce:2a:a2:5d:87:04:09:f6:30:9d:
18:8a:97:b2:aa:1c:fc:41:d2:a1:36:cb:fb:3d:91:
ba:e7:d9:70:35:fa:e4:e7:90:c3:9b:a3:9b:d3:3c:
f5:12:99:77:b1:b7:09:e0:68:e6:1c:b8:f3:94:63:
88:6a:6a:fe:0b:76:c9:be:f4:22:e4:67:b9:ab:1a:
5e:77:c1:85:07:dd:0d:6c:bf:ee:06:c7:77:6a:41:
9e:a7:0f:d7:fb:ee:94:17:b7:fc:85:be:a4:ab:c4:
1c:31:dd:d7:b6:d1:e4:f0:ef:df:16:8f:b2:52:93:
d7:a1:d4:89:a1:07:2e:bf:e1:01:12:42:1e:1a:e1:
d8:95:34:db:64:79:28:ff:ba:2e:11:c2:e5:e8:5b:
92:48:fb:47:0b:c2:6c:da:ad:32:83:41:f3:a5:e5:
41:70:fd:65:90:6d:fa:fa:51:c4:f9:bd:96:2b:19:
04:2c:d3:6d:a7:dc:f0:7f:6f:83:65:e2:6a:ab:87: 86:75
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A
X509v3 Subject Key Identifier:
DA:ED:64:74:14:9C:14:3C:AB:DD:99:A9:BD:5B:28:4D:8B:3C:C9:D8
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Certificate Policies:
Policy: X509v3 Any Policy
X509v3 CRL Distribution Points:
URI:http://crl.usertrust.com/AddTrustExternalCARoot.crl
Authority Information Access:
OCSP - URI:http://ocsp.usertrust.com
Signature Algorithm: sha1WithRSAEncryption
4d:42:2f:a6:c1:8a:eb:07:80:90:58:46:8c:f8:19:39:66:2a:
3c:5a:2c:6d:cf:d4:d9:87:55:8d:79:0b:12:88:7b:40:8f:d5:
c7:f8:4b:8d:55:16:63:ad:b7:57:dc:3b:2b:bd:d3:c1:4f:1e:
03:87:4b:44:9b:e3:e2:40:45:26:f3:26:49:2b:6a:84:f1:54:
7a:d4:42:da:fc:d3:6a:bb:66:7e:ca:9e:ea:e9:bb:dc:07:c7:
c3:92:4e:83:3c:81:49:9f:92:d5:32:09:ea:49:2e:a1:11:71:
9a:36:d2:c5:4e:68:b6:cb:0e:1b:25:16:af:6c:de:5d:76:d8:
1f:72:b1:93:26:86:17:db:18:de:af:45:e9:df:fb:98:af:14:
18:ed:a4:5e:f6:89:94:45:f0:55:04:4a:dd:ff:27:dd:06:4a:
40:f6:b4:bc:f1:e4:0f:99:02:bb:fd:5d:0e:2e:28:c1:be:3b:
5f:1a:3f:97:10:84:bc:16:3e:d8:a3:9c:63:1d:66:cb:5c:5f:
da:3e:f3:0f:0a:09:35:22:db:db:c0:3f:00:f9:e6:0d:5d:67:
d1:fd:a0:1e:03:2b:d9:40:f7:be:cc:87:66:54:80:a6:a3:b8:
f5:19:62:d5:d2:26:b1:98:26:ee:9a:cb:44:a7:45:5a:81:95: 15:1a:f5:51
Certificate:
Data:
Version: 3 (0x2) Serial Number:
10:70:9d:4f:f5:54:08:d7:30:60:01:d8:ea:91:75:bb
Signature Algorithm: sha1WithRSAEncryption Issuer:
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object Validity
Not Before: Aug 24 00:00:00 2011 GMT Not After : May 30
10:48:38 2020 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA
Limited, CN=COMODO Code Signing CA 2 Subject Public Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:cb:f8:e7:a7:e8:f1:97:28:40:68:80:37:d2:c8:
3f:8e:92:8a:92:37:87:47:80:ea:4c:99:cf:6e:f9:
15:47:bd:ee:75:f4:44:ac:d0:c3:d4:4d:f7:19:c0:
d3:3c:4d:c1:47:b9:59:65:16:93:8c:d9:0a:84:9b:
9f:e8:f6:6a:63:58:fe:5f:dc:d1:7f:4b:51:9f:00:
1c:00:87:54:20:07:57:a0:82:c9:2f:98:af:33:8a:
bb:7b:80:22:25:6a:6c:af:c2:2c:6c:79:13:bd:a3:
2a:48:d6:b5:8e:61:55:e9:6b:e8:3d:80:bf:14:03:
85:18:8e:7e:4c:e9:c2:19:88:73:92:72:cd:fa:ff:
50:4d:cb:2c:a6:7b:1a:73:b1:00:90:2c:d9:32:e2:
fb:fd:ac:95:42:36:ec:34:c5:13:53:68:b2:c1:9f:
40:9f:da:7b:c8:9d:62:6c:93:a2:42:d7:79:9f:97:
4f:31:5b:50:21:a1:ab:af:d9:1c:b2:ce:75:be:5b:
2c:56:00:24:8d:11:c1:75:1f:f0:fe:d2:95:fe:f0:
e1:31:23:18:67:c0:5b:13:fd:5a:98:94:94:ff:ff:
59:02:1f:00:ac:e6:f1:f2:fa:3a:73:b3:1d:42:fc:
54:75:cf:51:31:2f:e3:db:81:d9:77:23:2a:4f:59: ce:23
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:DA:ED:64:74:14:9C:14:3C:AB:DD:99:A9:BD:5B:28:4D:8B:3C:C9:D8
X509v3 Subject Key Identifier:
1E:C5:B1:2C:7D:87:DA:02:68:7C:25:BC:0C:07:84:3F:B6:CF:DE:F1
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Extended Key Usage:
Code Signing
X509v3 Certificate Policies:
Policy: X509v3 Any Policy
X509v3 CRL Distribution Points:
URI:http://crl.usertrust.com/UTN-USERFirst-Object.crl
Authority Information Access:
CA Issuers -
URI:http://crt.usertrust.com/UTNAddTrustObject_CA.crt
OCSP - URI:http://ocsp.usertrust.com
Signature Algorithm: sha1WithRSAEncryption
95:89:77:93:68:01:5e:7c:d9:2d:37:07:90:5d:5a:42:5e:0c:
64:b4:36:b5:0f:f6:ab:d5:39:27:de:22:46:a4:49:1c:66:4b:
46:19:59:2e:79:49:03:f6:9c:92:df:6d:50:35:5c:0c:91:2e:
60:03:59:d0:f1:64:f7:69:09:f6:7e:fe:eb:34:b3:6d:b1:bf:
66:9c:a3:ba:31:78:b9:87:35:61:3d:92:31:1b:ef:f4:e8:9e:
d6:ac:45:fa:0c:36:3c:80:67:bb:bd:ef:2e:c2:90:e1:3d:71:
2f:3b:c1:b0:58:7e:45:c3:52:71:03:07:f6:f3:39:4d:8b:36:
21:1b:01:df:d9:da:5e:2b:eb:0e:97:80:1e:44:1c:50:88:f5:
c6:12:33:4a:a8:4d:a5:8d:2f:94:0c:7b:c6:bf:9a:2c:c3:32:
cd:bd:8c:27:26:f0:e1:30:03:50:06:82:bc:f4:3b:b3:83:75:
06:c6:ef:ba:ee:d3:80:f8:52:c6:ac:cb:79:f2:38:9e:7b:b0:
92:58:42:91:05:c8:96:21:ad:b9:4b:16:81:14:69:f1:37:b0:
fe:34:f7:dc:b0:df:97:f5:43:10:9b:76:8f:b4:65:f5:e8:9f:
13:b7:1e:ac:6f:c4:69:8a:5f:ba:3c:61:7e:5e:49:86:23:13: 2e:af:15:48
Certificate:
Data:
Version: 3 (0x2) Serial Number:
2a:dd:43:5c:1d:ad:c0:e7:e2:80:af:6e:ec:21:60:c4
Signature Algorithm: sha1WithRSAEncryption Issuer: C=GB,
ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
Code Signing CA 2 Validity
Not Before: Dec 2 00:00:00 2014 GMT Not After : Dec 2
23:59:59 2015 GMT
Subject: C=GB/postalCode=W1J 6BD, ST=London,
L=London/streetAddress=Berkeley Square/streetAddress=Berkeley
Square House, O=BSCP Limited, CN=BSCP Limited Subject Public
Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:b1:dc:13:5b:96:2c:37:84:61:45:07:48:3c:ba:
9d:aa:9f:f9:79:0d:38:98:36:00:dd:e7:a5:23:16:
9f:b8:6c:69:43:90:53:e1:63:66:c0:85:16:37:f9:
c8:3a:dd:bb:f7:6a:af:c5:54:8e:f1:0a:37:7b:21:
50:f0:78:e7:09:3c:e4:48:36:20:d7:59:58:2b:a0:
a8:81:d3:8c:77:23:1f:6c:85:82:ad:c1:20:50:cb:
7a:a5:91:10:3e:25:39:10:b1:a6:32:e2:a9:02:b1:
67:d1:56:a1:bb:fb:3a:65:94:79:b0:ee:ea:1f:d5:
20:b9:03:f3:52:c1:c3:90:de:7c:68:10:4c:63:08:
b4:6a:e8:45:58:66:54:f3:46:1a:01:4f:03:21:a6:
d7:37:16:bf:fb:fa:f2:e9:21:2d:fb:71:78:f1:b4:
6e:6b:cb:a3:01:9e:d0:34:87:59:71:fd:ac:33:c8:
1c:e7:a9:9a:6d:b2:6e:43:ba:22:f3:83:ce:37:9d:
69:9d:de:c0:4b:fe:2f:8d:3f:d1:b1:e9:2b:bc:fc:
e1:f7:e1:da:71:7f:c1:54:b6:b8:e7:84:1a:a2:ef:
cb:a3:0c:4b:7e:2e:11:48:f4:29:b8:ba:11:d8:53:
03:3a:2b:80:58:1f:c1:18:5b:3e:7f:59:50:3a:6c: a2:89
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:1E:C5:B1:2C:7D:87:DA:02:68:7C:25:BC:0C:07:84:3F:B6:CF:DE:F1
X509v3 Subject Key Identifier:
BC:26:DA:A5:BF:C7:EA:F4:E3:75:A8:D7:DF:B5:32:EC:A4:7E:7D:02
X509v3 Key Usage: critical
Digital Signature
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
Code Signing
Netscape Cert Type:
Object Signing
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.6449.1.2.1.3.2
CPS: https://secure.comodo.net/CPS
X509v3 CRL Distribution Points:
URI:http://crl.comodoca.com/COMODOCodeSigningCA2.crl
Authority Information Access:
CA Issuers -
URI:http://crt.comodoca.com/COMODOCodeSigningCA2.crt
OCSP - URI:http://ocsp.comodoca.com
Signature Algorithm: sha1WithRSAEncryption
79:83:ef:8b:29:64:bd:c2:48:70:a0:42:23:f0:36:bc:7c:22:
0a:b9:73:ba:42:45:bd:76:dc:56:50:92:a2:f0:3c:ad:01:db:
95:9e:f4:49:d8:14:66:4d:73:e8:d7:e6:d9:77:65:c9:22:8d:
eb:31:c3:6e:93:05:65:08:5b:e2:c1:17:fc:35:13:7c:b5:1f:
77:51:e3:cf:d1:ef:c3:3a:86:10:0f:68:9e:e4:73:a6:a0:54:
2f:7b:99:9f:4e:3b:a2:e8:b1:f0:8b:b7:03:d1:d5:49:f1:67:
f5:0f:0c:99:af:5c:6a:f0:03:a2:36:88:ea:89:af:bc:5d:ca:
a9:b7:4d:4a:0f:12:0f:7e:6b:a4:43:31:d0:43:6e:67:f9:d8:
60:01:3d:58:ad:19:07:fc:b3:a1:ba:c1:6e:47:c7:7f:e9:54:
3a:32:91:36:ad:3c:8d:71:b1:e1:63:76:29:e1:98:c1:22:cd:
b4:8b:b2:76:15:34:ca:42:7c:f3:66:e2:4c:f9:8c:48:57:1d:
2a:d6:47:1d:ff:4e:5e:07:7f:4d:60:90:f1:e2:0c:60:b6:18:
74:c2:cf:10:29:86:59:bf:62:12:a0:0d:d8:80:f7:fd:7c:3e:
1f:16:a5:5d:d5:55:01:d9:63:59:30:83:ad:76:da:1f:f7:fd: c3:25:bb:c0
Code : Tout sélectionner
0:d=0 hl=4 l=4463 cons: SEQUENCE
4:d=1 hl=2 l= 9 prim: OBJECT :pkcs7-signedData
15:d=1 hl=4 l=4448 cons: cont [ 0 ]
19:d=2 hl=4 l=4444 cons: SEQUENCE
23:d=3 hl=2 l= 1 prim: INTEGER :01
26:d=3 hl=2 l= 11 cons: SET
28:d=4 hl=2 l= 9 cons: SEQUENCE
30:d=5 hl=2 l= 5 prim: OBJECT :sha1
37:d=5 hl=2 l= 0 prim: NULL
39:d=3 hl=2 l= 104 cons: SEQUENCE
41:d=4 hl=2 l= 10 prim: OBJECT :1.3.6.1.4.1.311.2.1.4
53:d=4 hl=2 l= 90 cons: cont [ 0 ]
55:d=5 hl=2 l= 88 cons: SEQUENCE
57:d=6 hl=2 l= 51 cons: SEQUENCE
59:d=7 hl=2 l= 10 prim: OBJECT :1.3.6.1.4.1.311.2.1.15
71:d=7 hl=2 l= 37 cons: SEQUENCE
73:d=8 hl=2 l= 1 prim: BIT STRING
0001 - <SPACES/NULS>
76:d=8 hl=2 l= 32 cons: cont [ 0 ]
78:d=9 hl=2 l= 30 cons: cont [ 2 ]
80:d=10 hl=2 l= 28 prim: cont [ 0 ]
110:d=6 hl=2 l= 33 cons: SEQUENCE
112:d=7 hl=2 l= 9 cons: SEQUENCE
114:d=8 hl=2 l= 5 prim: OBJECT :sha1
121:d=8 hl=2 l= 0 prim: NULL
123:d=7 hl=2 l= 20 prim: OCTET STRING
0000 - 24 1e c2 00 9d 6f f9 a0-03 20 20 d7 db de 36 f7 $....o... ...6.
0010 - 1e d5 af 04 ....
145:d=3 hl=4 l=3761 cons: cont [ 0 ]
149:d=4 hl=4 l=1156 cons: SEQUENCE
153:d=5 hl=4 l= 876 cons: SEQUENCE
157:d=6 hl=2 l= 3 cons: cont [ 0 ]
159:d=7 hl=2 l= 1 prim: INTEGER :02
162:d=6 hl=2 l= 16 prim: INTEGER :421AF2940984191F520A4BC62426A74B
180:d=6 hl=2 l= 13 cons: SEQUENCE
182:d=7 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
193:d=7 hl=2 l= 0 prim: NULL
195:d=6 hl=2 l= 111 cons: SEQUENCE
197:d=7 hl=2 l= 11 cons: SET
199:d=8 hl=2 l= 9 cons: SEQUENCE
201:d=9 hl=2 l= 3 prim: OBJECT :countryName
206:d=9 hl=2 l= 2 prim: PRINTABLESTRING :SE
210:d=7 hl=2 l= 20 cons: SET
212:d=8 hl=2 l= 18 cons: SEQUENCE
214:d=9 hl=2 l= 3 prim: OBJECT :organizationName
219:d=9 hl=2 l= 11 prim: PRINTABLESTRING :AddTrust AB
232:d=7 hl=2 l= 38 cons: SET
234:d=8 hl=2 l= 36 cons: SEQUENCE
236:d=9 hl=2 l= 3 prim: OBJECT :organizationalUnitName
241:d=9 hl=2 l= 29 prim: PRINTABLESTRING :AddTrust External TTP Network
272:d=7 hl=2 l= 34 cons: SET
274:d=8 hl=2 l= 32 cons: SEQUENCE
276:d=9 hl=2 l= 3 prim: OBJECT :commonName
281:d=9 hl=2 l= 25 prim: PRINTABLESTRING :AddTrust External CA Root
308:d=6 hl=2 l= 30 cons: SEQUENCE
310:d=7 hl=2 l= 13 prim: UTCTIME :050607080910Z
325:d=7 hl=2 l= 13 prim: UTCTIME :200530104838Z
340:d=6 hl=3 l= 149 cons: SEQUENCE
343:d=7 hl=2 l= 11 cons: SET
345:d=8 hl=2 l= 9 cons: SEQUENCE
347:d=9 hl=2 l= 3 prim: OBJECT :countryName
352:d=9 hl=2 l= 2 prim: PRINTABLESTRING :US
356:d=7 hl=2 l= 11 cons: SET
358:d=8 hl=2 l= 9 cons: SEQUENCE
360:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
365:d=9 hl=2 l= 2 prim: PRINTABLESTRING :UT
369:d=7 hl=2 l= 23 cons: SET
371:d=8 hl=2 l= 21 cons: SEQUENCE
373:d=9 hl=2 l= 3 prim: OBJECT :localityName
378:d=9 hl=2 l= 14 prim: PRINTABLESTRING :Salt Lake City
394:d=7 hl=2 l= 30 cons: SET
396:d=8 hl=2 l= 28 cons: SEQUENCE
398:d=9 hl=2 l= 3 prim: OBJECT :organizationName
403:d=9 hl=2 l= 21 prim: PRINTABLESTRING :The USERTRUST Network
426:d=7 hl=2 l= 33 cons: SET
428:d=8 hl=2 l= 31 cons: SEQUENCE
430:d=9 hl=2 l= 3 prim: OBJECT :organizationalUnitName
435:d=9 hl=2 l= 24 prim: PRINTABLESTRING :http://www.usertrust.com
461:d=7 hl=2 l= 29 cons: SET
463:d=8 hl=2 l= 27 cons: SEQUENCE
465:d=9 hl=2 l= 3 prim: OBJECT :commonName
470:d=9 hl=2 l= 20 prim: PRINTABLESTRING :UTN-USERFirst-Object
492:d=6 hl=4 l= 290 cons: SEQUENCE
496:d=7 hl=2 l= 13 cons: SEQUENCE
498:d=8 hl=2 l= 9 prim: OBJECT :rsaEncryption
509:d=8 hl=2 l= 0 prim: NULL
511:d=7 hl=4 l= 271 prim: BIT STRING
0000 - 00 30 82 01 0a 02 82 01-01 00 ce aa 81 3f a3 a3 .0...........?..
0010 - 61 78 aa 31 00 55 95 11-9e 27 0f 1f 1c df 3a 9b ax.1.U...'....:.
0020 - 82 68 30 c0 4a 61 1d f1-2f 0e fa be 79 f7 a5 23 .h0.Ja../...y..#
0030 - ef 55 51 96 84 cd db e3-b9 6e 3e 31 d8 0a 20 67 .UQ......n>1.. g
0040 - c7 f4 d9 bf 94 eb 47 04-3e 02 ce 2a a2 5d 87 04 ......G.>..*.]..
0050 - 09 f6 30 9d 18 8a 97 b2-aa 1c fc 41 d2 a1 36 cb ..0........A..6.
0060 - fb 3d 91 ba e7 d9 70 35-fa e4 e7 90 c3 9b a3 9b .=....p5........
0070 - d3 3c f5 12 99 77 b1 b7-09 e0 68 e6 1c b8 f3 94 .<...w....h.....
0080 - 63 88 6a 6a fe 0b 76 c9-be f4 22 e4 67 b9 ab 1a c.jj..v...".g...
0090 - 5e 77 c1 85 07 dd 0d 6c-bf ee 06 c7 77 6a 41 9e ^w.....l....wjA.
00a0 - a7 0f d7 fb ee 94 17 b7-fc 85 be a4 ab c4 1c 31 ...............1
00b0 - dd d7 b6 d1 e4 f0 ef df-16 8f b2 52 93 d7 a1 d4 ...........R....
00c0 - 89 a1 07 2e bf e1 01 12-42 1e 1a e1 d8 95 34 db ........B.....4.
00d0 - 64 79 28 ff ba 2e 11 c2-e5 e8 5b 92 48 fb 47 0b dy(.......[.H.G.
00e0 - c2 6c da ad 32 83 41 f3-a5 e5 41 70 fd 65 90 6d .l..2.A...Ap.e.m
00f0 - fa fa 51 c4 f9 bd 96 2b-19 04 2c d3 6d a7 dc f0 ..Q....+..,.m...
0100 - 7f 6f 83 65 e2 6a ab 87-86 75 02 03 01 00 01 .o.e.j...u.....
786:d=6 hl=3 l= 244 cons: cont [ 3 ]
789:d=7 hl=3 l= 241 cons: SEQUENCE
792:d=8 hl=2 l= 31 cons: SEQUENCE
794:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Authority Key Identifier
799:d=9 hl=2 l= 24 prim: OCTET STRING
0000 - 30 16 80 14 ad bd 98 7a-34 b4 26 f7 fa c4 26 54 0......z4.&...&T
0010 - ef 03 bd e0 24 cb 54 1a- ....$.T.
825:d=8 hl=2 l= 29 cons: SEQUENCE
827:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Subject Key Identifier
832:d=9 hl=2 l= 22 prim: OCTET STRING
0000 - 04 14 da ed 64 74 14 9c-14 3c ab dd 99 a9 bd 5b ....dt...<.....[
0010 - 28 4d 8b 3c c9 d8 (M.<..
856:d=8 hl=2 l= 14 cons: SEQUENCE
858:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Key Usage
863:d=9 hl=2 l= 1 prim: BOOLEAN :255
866:d=9 hl=2 l= 4 prim: OCTET STRING
0000 - 03 02 01 06 ....
872:d=8 hl=2 l= 15 cons: SEQUENCE
874:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Basic Constraints
879:d=9 hl=2 l= 1 prim: BOOLEAN :255
882:d=9 hl=2 l= 5 prim: OCTET STRING
0000 - 30 03 01 01 ff 0....
889:d=8 hl=2 l= 17 cons: SEQUENCE
891:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Certificate Policies
896:d=9 hl=2 l= 10 prim: OCTET STRING
0000 - 30 08 30 06 06 04 55 1d- 0.0...U.
000a - <SPACES/NULS>
908:d=8 hl=2 l= 68 cons: SEQUENCE
910:d=9 hl=2 l= 3 prim: OBJECT :X509v3 CRL Distribution Points
915:d=9 hl=2 l= 61 prim: OCTET STRING
0000 - 30 3b 30 39 a0 37 a0 35-86 33 68 74 74 70 3a 2f 0;09.7.5.3http:/
0010 - 2f 63 72 6c 2e 75 73 65-72 74 72 75 73 74 2e 63 /crl.usertrust.c
0020 - 6f 6d 2f 41 64 64 54 72-75 73 74 45 78 74 65 72 om/AddTrustExter
0030 - 6e 61 6c 43 41 52 6f 6f-74 2e 63 72 6c nalCARoot.crl
978:d=8 hl=2 l= 53 cons: SEQUENCE
980:d=9 hl=2 l= 8 prim: OBJECT :Authority Information Access
990:d=9 hl=2 l= 41 prim: OCTET STRING
0000 - 30 27 30 25 06 08 2b 06-01 05 05 07 30 01 86 19 0'0%..+.....0...
0010 - 68 74 74 70 3a 2f 2f 6f-63 73 70 2e 75 73 65 72 http://ocsp.user
0020 - 74 72 75 73 74 2e 63 6f-6d trust.com
1033:d=5 hl=2 l= 13 cons: SEQUENCE
1035:d=6 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
1046:d=6 hl=2 l= 0 prim: NULL
1048:d=5 hl=4 l= 257 prim: BIT STRING
0000 - 00 4d 42 2f a6 c1 8a eb-07 80 90 58 46 8c f8 19 .MB/.......XF...
0010 - 39 66 2a 3c 5a 2c 6d cf-d4 d9 87 55 8d 79 0b 12 9f*<Z,m....U.y..
0020 - 88 7b 40 8f d5 c7 f8 4b-8d 55 16 63 ad b7 57 dc .{@....K.U.c..W.
0030 - 3b 2b bd d3 c1 4f 1e 03-87 4b 44 9b e3 e2 40 45 ;+...O...KD...@E
0040 - 26 f3 26 49 2b 6a 84 f1-54 7a d4 42 da fc d3 6a &.&I+j..Tz.B...j
0050 - bb 66 7e ca 9e ea e9 bb-dc 07 c7 c3 92 4e 83 3c .f~..........N.<
0060 - 81 49 9f 92 d5 32 09 ea-49 2e a1 11 71 9a 36 d2 .I...2..I...q.6.
0070 - c5 4e 68 b6 cb 0e 1b 25-16 af 6c de 5d 76 d8 1f .Nh....%..l.]v..
0080 - 72 b1 93 26 86 17 db 18-de af 45 e9 df fb 98 af r..&......E.....
0090 - 14 18 ed a4 5e f6 89 94-45 f0 55 04 4a dd ff 27 ....^...E.U.J..'
00a0 - dd 06 4a 40 f6 b4 bc f1-e4 0f 99 02 bb fd 5d 0e ..J@..........].
00b0 - 2e 28 c1 be 3b 5f 1a 3f-97 10 84 bc 16 3e d8 a3 .(..;_.?.....>..
00c0 - 9c 63 1d 66 cb 5c 5f da-3e f3 0f 0a 09 35 22 db .c.f.\_.>....5".
00d0 - db c0 3f 00 f9 e6 0d 5d-67 d1 fd a0 1e 03 2b d9 ..?....]g.....+.
00e0 - 40 f7 be cc 87 66 54 80-a6 a3 b8 f5 19 62 d5 d2 @....fT......b..
00f0 - 26 b1 98 26 ee 9a cb 44-a7 45 5a 81 95 15 1a f5 &..&...D.EZ.....
0100 - 51 Q
1309:d=4 hl=4 l=1255 cons: SEQUENCE
1313:d=5 hl=4 l= 975 cons: SEQUENCE
1317:d=6 hl=2 l= 3 cons: cont [ 0 ]
1319:d=7 hl=2 l= 1 prim: INTEGER :02
1322:d=6 hl=2 l= 16 prim: INTEGER :10709D4FF55408D7306001D8EA9175BB
1340:d=6 hl=2 l= 13 cons: SEQUENCE
1342:d=7 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
1353:d=7 hl=2 l= 0 prim: NULL
1355:d=6 hl=3 l= 149 cons: SEQUENCE
1358:d=7 hl=2 l= 11 cons: SET
1360:d=8 hl=2 l= 9 cons: SEQUENCE
1362:d=9 hl=2 l= 3 prim: OBJECT :countryName
1367:d=9 hl=2 l= 2 prim: PRINTABLESTRING :US
1371:d=7 hl=2 l= 11 cons: SET
1373:d=8 hl=2 l= 9 cons: SEQUENCE
1375:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
1380:d=9 hl=2 l= 2 prim: PRINTABLESTRING :UT
1384:d=7 hl=2 l= 23 cons: SET
1386:d=8 hl=2 l= 21 cons: SEQUENCE
1388:d=9 hl=2 l= 3 prim: OBJECT :localityName
1393:d=9 hl=2 l= 14 prim: PRINTABLESTRING :Salt Lake City
1409:d=7 hl=2 l= 30 cons: SET
1411:d=8 hl=2 l= 28 cons: SEQUENCE
1413:d=9 hl=2 l= 3 prim: OBJECT :organizationName
1418:d=9 hl=2 l= 21 prim: PRINTABLESTRING :The USERTRUST Network
1441:d=7 hl=2 l= 33 cons: SET
1443:d=8 hl=2 l= 31 cons: SEQUENCE
1445:d=9 hl=2 l= 3 prim: OBJECT :organizationalUnitName
1450:d=9 hl=2 l= 24 prim: PRINTABLESTRING :http://www.usertrust.com
1476:d=7 hl=2 l= 29 cons: SET
1478:d=8 hl=2 l= 27 cons: SEQUENCE
1480:d=9 hl=2 l= 3 prim: OBJECT :commonName
1485:d=9 hl=2 l= 20 prim: PRINTABLESTRING :UTN-USERFirst-Object
1507:d=6 hl=2 l= 30 cons: SEQUENCE
1509:d=7 hl=2 l= 13 prim: UTCTIME :110824000000Z
1524:d=7 hl=2 l= 13 prim: UTCTIME :200530104838Z
1539:d=6 hl=2 l= 123 cons: SEQUENCE
1541:d=7 hl=2 l= 11 cons: SET
1543:d=8 hl=2 l= 9 cons: SEQUENCE
1545:d=9 hl=2 l= 3 prim: OBJECT :countryName
1550:d=9 hl=2 l= 2 prim: PRINTABLESTRING :GB
1554:d=7 hl=2 l= 27 cons: SET
1556:d=8 hl=2 l= 25 cons: SEQUENCE
1558:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
1563:d=9 hl=2 l= 18 prim: PRINTABLESTRING :Greater Manchester
1583:d=7 hl=2 l= 16 cons: SET
1585:d=8 hl=2 l= 14 cons: SEQUENCE
1587:d=9 hl=2 l= 3 prim: OBJECT :localityName
1592:d=9 hl=2 l= 7 prim: PRINTABLESTRING :Salford
1601:d=7 hl=2 l= 26 cons: SET
1603:d=8 hl=2 l= 24 cons: SEQUENCE
1605:d=9 hl=2 l= 3 prim: OBJECT :organizationName
1610:d=9 hl=2 l= 17 prim: PRINTABLESTRING :COMODO CA Limited
1629:d=7 hl=2 l= 33 cons: SET
1631:d=8 hl=2 l= 31 cons: SEQUENCE
1633:d=9 hl=2 l= 3 prim: OBJECT :commonName
1638:d=9 hl=2 l= 24 prim: PRINTABLESTRING :COMODO Code Signing CA 2
1664:d=6 hl=4 l= 290 cons: SEQUENCE
1668:d=7 hl=2 l= 13 cons: SEQUENCE
1670:d=8 hl=2 l= 9 prim: OBJECT :rsaEncryption
1681:d=8 hl=2 l= 0 prim: NULL
1683:d=7 hl=4 l= 271 prim: BIT STRING
0000 - 00 30 82 01 0a 02 82 01-01 00 cb f8 e7 a7 e8 f1 .0..............
0010 - 97 28 40 68 80 37 d2 c8-3f 8e 92 8a 92 37 87 47 .(@h.7..?....7.G
0020 - 80 ea 4c 99 cf 6e f9 15-47 bd ee 75 f4 44 ac d0 ..L..n..G..u.D..
0030 - c3 d4 4d f7 19 c0 d3 3c-4d c1 47 b9 59 65 16 93 ..M....<M.G.Ye..
0040 - 8c d9 0a 84 9b 9f e8 f6-6a 63 58 fe 5f dc d1 7f ........jcX._...
0050 - 4b 51 9f 00 1c 00 87 54-20 07 57 a0 82 c9 2f 98 KQ.....T .W.../.
0060 - af 33 8a bb 7b 80 22 25-6a 6c af c2 2c 6c 79 13 .3..{."%jl..,ly.
0070 - bd a3 2a 48 d6 b5 8e 61-55 e9 6b e8 3d 80 bf 14 ..*H...aU.k.=...
0080 - 03 85 18 8e 7e 4c e9 c2-19 88 73 92 72 cd fa ff ....~L....s.r...
0090 - 50 4d cb 2c a6 7b 1a 73-b1 00 90 2c d9 32 e2 fb PM.,.{.s...,.2..
00a0 - fd ac 95 42 36 ec 34 c5-13 53 68 b2 c1 9f 40 9f ...B6.4..Sh...@.
00b0 - da 7b c8 9d 62 6c 93 a2-42 d7 79 9f 97 4f 31 5b .{..bl..B.y..O1[
00c0 - 50 21 a1 ab af d9 1c b2-ce 75 be 5b 2c 56 00 24 P!.......u.[,V.$
00d0 - 8d 11 c1 75 1f f0 fe d2-95 fe f0 e1 31 23 18 67 ...u........1#.g
00e0 - c0 5b 13 fd 5a 98 94 94-ff ff 59 02 1f 00 ac e6 .[..Z.....Y.....
00f0 - f1 f2 fa 3a 73 b3 1d 42-fc 54 75 cf 51 31 2f e3 ...:s..B.Tu.Q1/.
0100 - db 81 d9 77 23 2a 4f 59-ce 23 02 03 01 00 01 ...w#*OY.#.....
1958:d=6 hl=4 l= 330 cons: cont [ 3 ]
1962:d=7 hl=4 l= 326 cons: SEQUENCE
1966:d=8 hl=2 l= 31 cons: SEQUENCE
1968:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Authority Key Identifier
1973:d=9 hl=2 l= 24 prim: OCTET STRING
0000 - 30 16 80 14 da ed 64 74-14 9c 14 3c ab dd 99 a9 0.....dt...<....
0010 - bd 5b 28 4d 8b 3c c9 d8- .[(M.<..
1999:d=8 hl=2 l= 29 cons: SEQUENCE
2001:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Subject Key Identifier
2006:d=9 hl=2 l= 22 prim: OCTET STRING
0000 - 04 14 1e c5 b1 2c 7d 87-da 02 68 7c 25 bc 0c 07 .....,}...h|%...
0010 - 84 3f b6 cf de f1 .?....
2030:d=8 hl=2 l= 14 cons: SEQUENCE
2032:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Key Usage
2037:d=9 hl=2 l= 1 prim: BOOLEAN :255
2040:d=9 hl=2 l= 4 prim: OCTET STRING
0000 - 03 02 01 06 ....
2046:d=8 hl=2 l= 18 cons: SEQUENCE
2048:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Basic Constraints
2053:d=9 hl=2 l= 1 prim: BOOLEAN :255
2056:d=9 hl=2 l= 8 prim: OCTET STRING
0000 - 30 06 01 01 ff 02 01 0......
0008 - <SPACES/NULS>
2066:d=8 hl=2 l= 19 cons: SEQUENCE
2068:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Extended Key Usage
2073:d=9 hl=2 l= 12 prim: OCTET STRING
0000 - 30 0a 06 08 2b 06 01 05-05 07 03 03 0...+.......
2087:d=8 hl=2 l= 17 cons: SEQUENCE
2089:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Certificate Policies
2094:d=9 hl=2 l= 10 prim: OCTET STRING
0000 - 30 08 30 06 06 04 55 1d- 0.0...U.
000a - <SPACES/NULS>
2106:d=8 hl=2 l= 66 cons: SEQUENCE
2108:d=9 hl=2 l= 3 prim: OBJECT :X509v3 CRL Distribution Points
2113:d=9 hl=2 l= 59 prim: OCTET STRING
0000 - 30 39 30 37 a0 35 a0 33-86 31 68 74 74 70 3a 2f 0907.5.3.1http:/
0010 - 2f 63 72 6c 2e 75 73 65-72 74 72 75 73 74 2e 63 /crl.usertrust.c
0020 - 6f 6d 2f 55 54 4e 2d 55-53 45 52 46 69 72 73 74 om/UTN-USERFirst
0030 - 2d 4f 62 6a 65 63 74 2e-63 72 6c -Object.crl
2174:d=8 hl=2 l= 116 cons: SEQUENCE
2176:d=9 hl=2 l= 8 prim: OBJECT :Authority Information Access
2186:d=9 hl=2 l= 104 prim: OCTET STRING
0000 - 30 66 30 3d 06 08 2b 06-01 05 05 07 30 02 86 31 0f0=..+.....0..1
0010 - 68 74 74 70 3a 2f 2f 63-72 74 2e 75 73 65 72 74 http://crt.usert
0020 - 72 75 73 74 2e 63 6f 6d-2f 55 54 4e 41 64 64 54 rust.com/UTNAddT
0030 - 72 75 73 74 4f 62 6a 65-63 74 5f 43 41 2e 63 72 rustObject_CA.cr
0040 - 74 30 25 06 08 2b 06 01-05 05 07 30 01 86 19 68 t0%..+.....0...h
0050 - 74 74 70 3a 2f 2f 6f 63-73 70 2e 75 73 65 72 74 ttp://ocsp.usert
0060 - 72 75 73 74 2e 63 6f 6d- rust.com
2292:d=5 hl=2 l= 13 cons: SEQUENCE
2294:d=6 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
2305:d=6 hl=2 l= 0 prim: NULL
2307:d=5 hl=4 l= 257 prim: BIT STRING
0000 - 00 95 89 77 93 68 01 5e-7c d9 2d 37 07 90 5d 5a ...w.h.^|.-7..]Z
0010 - 42 5e 0c 64 b4 36 b5 0f-f6 ab d5 39 27 de 22 46 B^.d.6.....9'."F
0020 - a4 49 1c 66 4b 46 19 59-2e 79 49 03 f6 9c 92 df .I.fKF.Y.yI.....
0030 - 6d 50 35 5c 0c 91 2e 60-03 59 d0 f1 64 f7 69 09 mP5\...`.Y..d.i.
0040 - f6 7e fe eb 34 b3 6d b1-bf 66 9c a3 ba 31 78 b9 .~..4.m..f...1x.
0050 - 87 35 61 3d 92 31 1b ef-f4 e8 9e d6 ac 45 fa 0c .5a=.1.......E..
0060 - 36 3c 80 67 bb bd ef 2e-c2 90 e1 3d 71 2f 3b c1 6<.g.......=q/;.
0070 - b0 58 7e 45 c3 52 71 03-07 f6 f3 39 4d 8b 36 21 .X~E.Rq....9M.6!
0080 - 1b 01 df d9 da 5e 2b eb-0e 97 80 1e 44 1c 50 88 .....^+.....D.P.
0090 - f5 c6 12 33 4a a8 4d a5-8d 2f 94 0c 7b c6 bf 9a ...3J.M../..{...
00a0 - 2c c3 32 cd bd 8c 27 26-f0 e1 30 03 50 06 82 bc ,.2...'&..0.P...
00b0 - f4 3b b3 83 75 06 c6 ef-ba ee d3 80 f8 52 c6 ac .;..u........R..
00c0 - cb 79 f2 38 9e 7b b0 92-58 42 91 05 c8 96 21 ad .y.8.{..XB....!.
00d0 - b9 4b 16 81 14 69 f1 37-b0 fe 34 f7 dc b0 df 97 .K...i.7..4.....
00e0 - f5 43 10 9b 76 8f b4 65-f5 e8 9f 13 b7 1e ac 6f .C..v..e.......o
00f0 - c4 69 8a 5f ba 3c 61 7e-5e 49 86 23 13 2e af 15 .i._.<a~^I.#....
0100 - 48 H
2568:d=4 hl=4 l=1338 cons: SEQUENCE
2572:d=5 hl=4 l=1058 cons: SEQUENCE
2576:d=6 hl=2 l= 3 cons: cont [ 0 ]
2578:d=7 hl=2 l= 1 prim: INTEGER :02
2581:d=6 hl=2 l= 16 prim: INTEGER :2ADD435C1DADC0E7E280AF6EEC2160C4
2599:d=6 hl=2 l= 13 cons: SEQUENCE
2601:d=7 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
2612:d=7 hl=2 l= 0 prim: NULL
2614:d=6 hl=2 l= 123 cons: SEQUENCE
2616:d=7 hl=2 l= 11 cons: SET
2618:d=8 hl=2 l= 9 cons: SEQUENCE
2620:d=9 hl=2 l= 3 prim: OBJECT :countryName
2625:d=9 hl=2 l= 2 prim: PRINTABLESTRING :GB
2629:d=7 hl=2 l= 27 cons: SET
2631:d=8 hl=2 l= 25 cons: SEQUENCE
2633:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
2638:d=9 hl=2 l= 18 prim: PRINTABLESTRING :Greater Manchester
2658:d=7 hl=2 l= 16 cons: SET
2660:d=8 hl=2 l= 14 cons: SEQUENCE
2662:d=9 hl=2 l= 3 prim: OBJECT :localityName
2667:d=9 hl=2 l= 7 prim: PRINTABLESTRING :Salford
2676:d=7 hl=2 l= 26 cons: SET
2678:d=8 hl=2 l= 24 cons: SEQUENCE
2680:d=9 hl=2 l= 3 prim: OBJECT :organizationName
2685:d=9 hl=2 l= 17 prim: PRINTABLESTRING :COMODO CA Limited
2704:d=7 hl=2 l= 33 cons: SET
2706:d=8 hl=2 l= 31 cons: SEQUENCE
2708:d=9 hl=2 l= 3 prim: OBJECT :commonName
2713:d=9 hl=2 l= 24 prim: PRINTABLESTRING :COMODO Code Signing CA 2
2739:d=6 hl=2 l= 30 cons: SEQUENCE
2741:d=7 hl=2 l= 13 prim: UTCTIME :141202000000Z
2756:d=7 hl=2 l= 13 prim: UTCTIME :151202235959Z
2771:d=6 hl=3 l= 169 cons: SEQUENCE
2774:d=7 hl=2 l= 11 cons: SET
2776:d=8 hl=2 l= 9 cons: SEQUENCE
2778:d=9 hl=2 l= 3 prim: OBJECT :countryName
2783:d=9 hl=2 l= 2 prim: PRINTABLESTRING :GB
2787:d=7 hl=2 l= 16 cons: SET
2789:d=8 hl=2 l= 14 cons: SEQUENCE
2791:d=9 hl=2 l= 3 prim: OBJECT :postalCode
2796:d=9 hl=2 l= 7 prim: UTF8STRING :W1J 6BD
2805:d=7 hl=2 l= 15 cons: SET
2807:d=8 hl=2 l= 13 cons: SEQUENCE
2809:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
2814:d=9 hl=2 l= 6 prim: UTF8STRING :London
2822:d=7 hl=2 l= 15 cons: SET
2824:d=8 hl=2 l= 13 cons: SEQUENCE
2826:d=9 hl=2 l= 3 prim: OBJECT :localityName
2831:d=9 hl=2 l= 6 prim: UTF8STRING :London
2839:d=7 hl=2 l= 24 cons: SET
2841:d=8 hl=2 l= 22 cons: SEQUENCE
2843:d=9 hl=2 l= 3 prim: OBJECT :streetAddress
2848:d=9 hl=2 l= 15 prim: UTF8STRING :Berkeley Square
2865:d=7 hl=2 l= 30 cons: SET
2867:d=8 hl=2 l= 28 cons: SEQUENCE
2869:d=9 hl=2 l= 3 prim: OBJECT :streetAddress
2874:d=9 hl=2 l= 21 prim: UTF8STRING :Berkeley Square House
2897:d=7 hl=2 l= 21 cons: SET
2899:d=8 hl=2 l= 19 cons: SEQUENCE
2901:d=9 hl=2 l= 3 prim: OBJECT :organizationName
2906:d=9 hl=2 l= 12 prim: UTF8STRING :BSCP Limited
2920:d=7 hl=2 l= 21 cons: SET
2922:d=8 hl=2 l= 19 cons: SEQUENCE
2924:d=9 hl=2 l= 3 prim: OBJECT :commonName
2929:d=9 hl=2 l= 12 prim: UTF8STRING :BSCP Limited
2943:d=6 hl=4 l= 290 cons: SEQUENCE
2947:d=7 hl=2 l= 13 cons: SEQUENCE
2949:d=8 hl=2 l= 9 prim: OBJECT :rsaEncryption
2960:d=8 hl=2 l= 0 prim: NULL
2962:d=7 hl=4 l= 271 prim: BIT STRING
0000 - 00 30 82 01 0a 02 82 01-01 00 b1 dc 13 5b 96 2c .0...........[.,
0010 - 37 84 61 45 07 48 3c ba-9d aa 9f f9 79 0d 38 98 7.aE.H<.....y.8.
0020 - 36 00 dd e7 a5 23 16 9f-b8 6c 69 43 90 53 e1 63 6....#...liC.S.c
0030 - 66 c0 85 16 37 f9 c8 3a-dd bb f7 6a af c5 54 8e f...7..:...j..T.
0040 - f1 0a 37 7b 21 50 f0 78-e7 09 3c e4 48 36 20 d7 ..7{!P.x..<.H6 .
0050 - 59 58 2b a0 a8 81 d3 8c-77 23 1f 6c 85 82 ad c1 YX+.....w#.l....
0060 - 20 50 cb 7a a5 91 10 3e-25 39 10 b1 a6 32 e2 a9 P.z...>%9...2..
0070 - 02 b1 67 d1 56 a1 bb fb-3a 65 94 79 b0 ee ea 1f ..g.V...:e.y....
0080 - d5 20 b9 03 f3 52 c1 c3-90 de 7c 68 10 4c 63 08 . ...R....|h.Lc.
0090 - b4 6a e8 45 58 66 54 f3-46 1a 01 4f 03 21 a6 d7 .j.EXfT.F..O.!..
00a0 - 37 16 bf fb fa f2 e9 21-2d fb 71 78 f1 b4 6e 6b 7......!-.qx..nk
00b0 - cb a3 01 9e d0 34 87 59-71 fd ac 33 c8 1c e7 a9 .....4.Yq..3....
00c0 - 9a 6d b2 6e 43 ba 22 f3-83 ce 37 9d 69 9d de c0 .m.nC."...7.i...
00d0 - 4b fe 2f 8d 3f d1 b1 e9-2b bc fc e1 f7 e1 da 71 K./.?...+......q
00e0 - 7f c1 54 b6 b8 e7 84 1a-a2 ef cb a3 0c 4b 7e 2e ..T..........K~.
00f0 - 11 48 f4 29 b8 ba 11 d8-53 03 3a 2b 80 58 1f c1 .H.)....S.:+.X..
0100 - 18 5b 3e 7f 59 50 3a 6c-a2 89 02 03 01 00 01 .[>.YP:l.......
3237:d=6 hl=4 l= 393 cons: cont [ 3 ]
3241:d=7 hl=4 l= 389 cons: SEQUENCE
3245:d=8 hl=2 l= 31 cons: SEQUENCE
3247:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Authority Key Identifier
3252:d=9 hl=2 l= 24 prim: OCTET STRING
0000 - 30 16 80 14 1e c5 b1 2c-7d 87 da 02 68 7c 25 bc 0......,}...h|%.
0010 - 0c 07 84 3f b6 cf de f1- ...?....
3278:d=8 hl=2 l= 29 cons: SEQUENCE
3280:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Subject Key Identifier
3285:d=9 hl=2 l= 22 prim: OCTET STRING
0000 - 04 14 bc 26 da a5 bf c7-ea f4 e3 75 a8 d7 df b5 ...&.......u....
0010 - 32 ec a4 7e 7d 02 2..~}.
3309:d=8 hl=2 l= 14 cons: SEQUENCE
3311:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Key Usage
3316:d=9 hl=2 l= 1 prim: BOOLEAN :255
3319:d=9 hl=2 l= 4 prim: OCTET STRING
0000 - 03 02 07 80 ....
3325:d=8 hl=2 l= 12 cons: SEQUENCE
3327:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Basic Constraints
3332:d=9 hl=2 l= 1 prim: BOOLEAN :255
3335:d=9 hl=2 l= 2 prim: OCTET STRING
0000 - 30 0
0002 - <SPACES/NULS>
3339:d=8 hl=2 l= 19 cons: SEQUENCE
3341:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Extended Key Usage
3346:d=9 hl=2 l= 12 prim: OCTET STRING
0000 - 30 0a 06 08 2b 06 01 05-05 07 03 03 0...+.......
3360:d=8 hl=2 l= 17 cons: SEQUENCE
3362:d=9 hl=2 l= 9 prim: OBJECT :Netscape Cert Type
3373:d=9 hl=2 l= 4 prim: OCTET STRING
0000 - 03 02 04 10 ....
3379:d=8 hl=2 l= 70 cons: SEQUENCE
3381:d=9 hl=2 l= 3 prim: OBJECT :X509v3 Certificate Policies
3386:d=9 hl=2 l= 63 prim: OCTET STRING
0000 - 30 3d 30 3b 06 0c 2b 06-01 04 01 b2 31 01 02 01 0=0;..+.....1...
0010 - 03 02 30 2b 30 29 06 08-2b 06 01 05 05 07 02 01 ..0+0)..+.......
0020 - 16 1d 68 74 74 70 73 3a-2f 2f 73 65 63 75 72 65 ..https://secure
0030 - 2e 63 6f 6d 6f 64 6f 2e-6e 65 74 2f 43 50 53 .comodo.net/CPS
3451:d=8 hl=2 l= 65 cons: SEQUENCE
3453:d=9 hl=2 l= 3 prim: OBJECT :X509v3 CRL Distribution Points
3458:d=9 hl=2 l= 58 prim: OCTET STRING
0000 - 30 38 30 36 a0 34 a0 32-86 30 68 74 74 70 3a 2f 0806.4.2.0http:/
0010 - 2f 63 72 6c 2e 63 6f 6d-6f 64 6f 63 61 2e 63 6f /crl.comodoca.co
0020 - 6d 2f 43 4f 4d 4f 44 4f-43 6f 64 65 53 69 67 6e m/COMODOCodeSign
0030 - 69 6e 67 43 41 32 2e 63-72 6c ingCA2.crl
3518:d=8 hl=2 l= 114 cons: SEQUENCE
3520:d=9 hl=2 l= 8 prim: OBJECT :Authority Information Access
3530:d=9 hl=2 l= 102 prim: OCTET STRING
0000 - 30 64 30 3c 06 08 2b 06-01 05 05 07 30 02 86 30 0d0<..+.....0..0
0010 - 68 74 74 70 3a 2f 2f 63-72 74 2e 63 6f 6d 6f 64 http://crt.comod
0020 - 6f 63 61 2e 63 6f 6d 2f-43 4f 4d 4f 44 4f 43 6f oca.com/COMODOCo
0030 - 64 65 53 69 67 6e 69 6e-67 43 41 32 2e 63 72 74 deSigningCA2.crt
0040 - 30 24 06 08 2b 06 01 05-05 07 30 01 86 18 68 74 0$..+.....0...ht
0050 - 74 70 3a 2f 2f 6f 63 73-70 2e 63 6f 6d 6f 64 6f tp://ocsp.comodo
0060 - 63 61 2e 63 6f 6d ca.com
3634:d=5 hl=2 l= 13 cons: SEQUENCE
3636:d=6 hl=2 l= 9 prim: OBJECT :sha1WithRSAEncryption
3647:d=6 hl=2 l= 0 prim: NULL
3649:d=5 hl=4 l= 257 prim: BIT STRING
0000 - 00 79 83 ef 8b 29 64 bd-c2 48 70 a0 42 23 f0 36 .y...)d..Hp.B#.6
0010 - bc 7c 22 0a b9 73 ba 42-45 bd 76 dc 56 50 92 a2 .|"..s.BE.v.VP..
0020 - f0 3c ad 01 db 95 9e f4-49 d8 14 66 4d 73 e8 d7 .<......I..fMs..
0030 - e6 d9 77 65 c9 22 8d eb-31 c3 6e 93 05 65 08 5b ..we."..1.n..e.[
0040 - e2 c1 17 fc 35 13 7c b5-1f 77 51 e3 cf d1 ef c3 ....5.|..wQ.....
0050 - 3a 86 10 0f 68 9e e4 73-a6 a0 54 2f 7b 99 9f 4e :...h..s..T/{..N
0060 - 3b a2 e8 b1 f0 8b b7 03-d1 d5 49 f1 67 f5 0f 0c ;.........I.g...
0070 - 99 af 5c 6a f0 03 a2 36-88 ea 89 af bc 5d ca a9 ..\j...6.....]..
0080 - b7 4d 4a 0f 12 0f 7e 6b-a4 43 31 d0 43 6e 67 f9 .MJ...~k.C1.Cng.
0090 - d8 60 01 3d 58 ad 19 07-fc b3 a1 ba c1 6e 47 c7 .`.=X........nG.
00a0 - 7f e9 54 3a 32 91 36 ad-3c 8d 71 b1 e1 63 76 29 ..T:2.6.<.q..cv)
00b0 - e1 98 c1 22 cd b4 8b b2-76 15 34 ca 42 7c f3 66 ..."....v.4.B|.f
00c0 - e2 4c f9 8c 48 57 1d 2a-d6 47 1d ff 4e 5e 07 7f .L..HW.*.G..N^..
00d0 - 4d 60 90 f1 e2 0c 60 b6-18 74 c2 cf 10 29 86 59 M`....`..t...).Y
00e0 - bf 62 12 a0 0d d8 80 f7-fd 7c 3e 1f 16 a5 5d d5 .b.......|>...].
00f0 - 55 01 d9 63 59 30 83 ad-76 da 1f f7 fd c3 25 bb U..cY0..v.....%.
0100 - c0 .
3910:d=3 hl=4 l= 553 cons: SET
3914:d=4 hl=4 l= 549 cons: SEQUENCE
3918:d=5 hl=2 l= 1 prim: INTEGER :01
3921:d=5 hl=3 l= 143 cons: SEQUENCE
3924:d=6 hl=2 l= 123 cons: SEQUENCE
3926:d=7 hl=2 l= 11 cons: SET
3928:d=8 hl=2 l= 9 cons: SEQUENCE
3930:d=9 hl=2 l= 3 prim: OBJECT :countryName
3935:d=9 hl=2 l= 2 prim: PRINTABLESTRING :GB
3939:d=7 hl=2 l= 27 cons: SET
3941:d=8 hl=2 l= 25 cons: SEQUENCE
3943:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
3948:d=9 hl=2 l= 18 prim: PRINTABLESTRING :Greater Manchester
3968:d=7 hl=2 l= 16 cons: SET
3970:d=8 hl=2 l= 14 cons: SEQUENCE
3972:d=9 hl=2 l= 3 prim: OBJECT :localityName
3977:d=9 hl=2 l= 7 prim: PRINTABLESTRING :Salford
3986:d=7 hl=2 l= 26 cons: SET
3988:d=8 hl=2 l= 24 cons: SEQUENCE
3990:d=9 hl=2 l= 3 prim: OBJECT :organizationName
3995:d=9 hl=2 l= 17 prim: PRINTABLESTRING :COMODO CA Limited
4014:d=7 hl=2 l= 33 cons: SET
4016:d=8 hl=2 l= 31 cons: SEQUENCE
4018:d=9 hl=2 l= 3 prim: OBJECT :commonName
4023:d=9 hl=2 l= 24 prim: PRINTABLESTRING :COMODO Code Signing CA 2
4049:d=6 hl=2 l= 16 prim: INTEGER :2ADD435C1DADC0E7E280AF6EEC2160C4
4067:d=5 hl=2 l= 9 cons: SEQUENCE
4069:d=6 hl=2 l= 5 prim: OBJECT :sha1
4076:d=6 hl=2 l= 0 prim: NULL
4078:d=5 hl=2 l= 112 cons: cont [ 0 ]
4080:d=6 hl=2 l= 16 cons: SEQUENCE
4082:d=7 hl=2 l= 10 prim: OBJECT :1.3.6.1.4.1.311.2.1.12
4094:d=7 hl=2 l= 2 cons: SET
4096:d=8 hl=2 l= 0 cons: SEQUENCE
4098:d=6 hl=2 l= 25 cons: SEQUENCE
4100:d=7 hl=2 l= 9 prim: OBJECT :contentType
4111:d=7 hl=2 l= 12 cons: SET
4113:d=8 hl=2 l= 10 prim: OBJECT :1.3.6.1.4.1.311.2.1.4
4125:d=6 hl=2 l= 28 cons: SEQUENCE
4127:d=7 hl=2 l= 10 prim: OBJECT :1.3.6.1.4.1.311.2.1.11
4139:d=7 hl=2 l= 14 cons: SET
4141:d=8 hl=2 l= 12 cons: SEQUENCE
4143:d=9 hl=2 l= 10 prim: OBJECT :Microsoft Individual Code Signing
4155:d=6 hl=2 l= 35 cons: SEQUENCE
4157:d=7 hl=2 l= 9 prim: OBJECT :messageDigest
4168:d=7 hl=2 l= 22 cons: SET
4170:d=8 hl=2 l= 20 prim: OCTET STRING
0000 - 13 31 e2 a9 34 e8 0d c2-e2 df d9 c8 0c 35 0a 28 .1..4........5.(
0010 - ce 81 be ba ....
4192:d=5 hl=2 l= 13 cons: SEQUENCE
4194:d=6 hl=2 l= 9 prim: OBJECT :rsaEncryption
4205:d=6 hl=2 l= 0 prim: NULL
4207:d=5 hl=4 l= 256 prim: OCTET STRING
0000 - 28 e0 42 2a 9f 97 13 eb-7b 53 43 19 18 dd 6d f4 (.B*....{SC...m.
0010 - 84 9c a2 6f d0 b3 76 e2-2b 63 17 b5 e7 a9 cf 5c ...o..v.+c.....\
0020 - 33 e8 51 42 30 47 0e 61-5a a7 ae e6 52 e4 bd b0 3.QB0G.aZ...R...
0030 - 1c 40 20 4c 17 f0 11 e6-84 c4 76 0e cc 04 7e d1 .@ L......v...~.
0040 - 03 23 dc 16 3a 69 b4 ba-cb 5e 1c 7b 8b c3 73 3c .#..:i...^.{..s<
0050 - 1c 26 e1 0c 1e cb 93 6d-e5 40 0e dc be 1d ab 8c .&.....m.@......
0060 - e5 c8 90 c1 21 fa ed c5-c1 54 ac 7c f0 8f 07 87 ....!....T.|....
0070 - 90 d0 c4 f4 1e 57 c8 45-e7 2a 33 af 09 1a 8c d7 .....W.E.*3.....
0080 - 17 8a e1 54 41 b5 62 2a-25 85 d4 3c 33 3c 71 41 ...TA.b*%..<3<qA
0090 - 88 2b 33 f1 c9 59 a6 89-a1 1b 94 0f 97 21 60 d3 .+3..Y.......!`.
00a0 - a7 8f 42 12 59 26 26 62-2c 61 6c ba 56 7f 56 f5 ..B.Y&&b,al.V.V.
00b0 - 39 7f 05 02 0d 19 7d bd-dc 1e 77 13 07 07 a8 78 9.....}...w....x
00c0 - 57 47 95 b7 0a a5 2e 1c-79 55 f5 f8 87 67 2d 86 WG......yU...g-.
00d0 - ba 60 10 e4 0a e8 76 7f-16 30 99 46 90 38 23 36 .`....v..0.F.8#6
00e0 - 32 50 77 e7 96 c9 fb e9-43 0f 7d 4a 0d 82 57 52 2Pw.....C.}J..WR
00f0 - 58 92 bb fb 5c 10 95 6c-d7 6a 54 1b 27 e4 43 fb X...\..l.jT.'.C.
4467:d=0 hl=2 l= 0 prim: EOC
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
Aujourd'hui, lors d'une routine de traitements sur les signatures d'échantillons de différents services, l'échantillon D305FF45C19FE7EDB798D02C1A66401C collecté par la plateforme VXV a été mentionné dans un tweet de Marc Ochsenmeier.
Contenu du tweet : A Dridex #malware sample (D305FF45C19FE7EDB798D02C1A66401C) focused on the Active Directory Domain Services! http://t.co/Vd0ERj7a2z
Le lien hypertexte à la fin du message retourne une capture d'écran de l'échantillon analysé via PEStudio et... Marc Ochsenmeier n'est autre que l'auteur de PEStudio.
Un rapide coup d'œil permet de nuancer le message de Marc.
En effet, la table n'est autre que celle du packer.
Et les imports de la table ne sont pas utilisées.
Les services Active Directory peuvent respirer.
Différences de timestamp entre packer & malware.
Le programme malveillant a un poids d'~95 Ko.
Dans l'ensemble, on retrouve les CnC habituels.
78.47.119.85:543
212.47.196.149:543
68.169.49.213:448
201.175.17.35:448
L'IP 212.47.196.149 fait référence à un sujet de Conrad Longmore et ces faux fichiers audios au format ".WAV" font étrangement penser à mon sujet sur Dridex & les raccourcis piégés (LNK) + VBE.
Profitons de l'aparté pour remercier Marc Ochsenmeier. PEStudio est un sympathique utilitaire mais comme son nom l'indique c'est du "Malware Early Triage". En clair, ne vous fiez pas forcément aux premiers résultats.
Aujourd'hui, lors d'une routine de traitements sur les signatures d'échantillons de différents services, l'échantillon D305FF45C19FE7EDB798D02C1A66401C collecté par la plateforme VXV a été mentionné dans un tweet de Marc Ochsenmeier.
Contenu du tweet : A Dridex #malware sample (D305FF45C19FE7EDB798D02C1A66401C) focused on the Active Directory Domain Services! http://t.co/Vd0ERj7a2z
Le lien hypertexte à la fin du message retourne une capture d'écran de l'échantillon analysé via PEStudio et... Marc Ochsenmeier n'est autre que l'auteur de PEStudio.
Un rapide coup d'œil permet de nuancer le message de Marc.
En effet, la table n'est autre que celle du packer.
Et les imports de la table ne sont pas utilisées.
Les services Active Directory peuvent respirer.
Différences de timestamp entre packer & malware.
Le programme malveillant a un poids d'~95 Ko.
Dans l'ensemble, on retrouve les CnC habituels.
78.47.119.85:543
212.47.196.149:543
68.169.49.213:448
201.175.17.35:448
L'IP 212.47.196.149 fait référence à un sujet de Conrad Longmore et ces faux fichiers audios au format ".WAV" font étrangement penser à mon sujet sur Dridex & les raccourcis piégés (LNK) + VBE.
Profitons de l'aparté pour remercier Marc Ochsenmeier. PEStudio est un sympathique utilitaire mais comme son nom l'indique c'est du "Malware Early Triage". En clair, ne vous fiez pas forcément aux premiers résultats.
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
Un tweet qui signale, une nouvelle fois, la présence d'un Dridex signé. ( Merci PhysicalDrive0 )
Un tweet qui signale, une nouvelle fois, la présence d'un Dridex signé. ( Merci PhysicalDrive0 )
Code : Tout sélectionner
Verified: Signed
Signers:
Afet
Status: Valid
Valid Usage: Code Signing
Serial Number: 11 B0 FE DD D5 9B 27 30 B5 BE 6C 7F A7 FD B3 3D
Thumbprint: F3E79ADAFA606F569D1A2080F39569820A1656EF
Algorithm: SHA-256
Valid from: 02:00 02/08/2015
Valid to: 01:59 24/07/2016
COMODO RSA Code Signing CA
Status: Valid
Valid Usage: Code Signing
Serial Number: 2E 7C 87 CC 0E 93 4A 52 FE 94 FD 1C B7 CD 34 AF
Thumbprint: B69E752BBE88B4458200A7C0F4F5B3CCE6F35B47
Algorithm: SHA-384
Valid from: 02:00 09/05/2013
Valid to: 01:59 09/05/2028
COMODO
Status: Valid
Valid Usage: Server Auth, Client Auth,
Email Protection, Code Signing, Timestamp Signing,
EFS, IPSEC Tunnel, IPSEC User
Serial Number: 4C AA F9 CA DB 63 6F E0 1F F7 4E D8 5B 03 86 9D
Thumbprint: AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4
Algorithm: SHA-384
Valid from: 02:00 19/01/2010
Valid to: 01:59 19/01/2038
Signing date: 14:05 12/08/2015
Counter Signers:
COMODO Time Stamping Signer
Status: Valid
Valid Usage: Timestamp Signing
Serial Number: 00 9F EA C8 11 B0 F1 62 47 A5 FC 20 D8 05 23 AC E6
Thumbprint: DF946A5E503015777FD22F46B5624ECD27BEE376
Algorithm: SHA1
Valid from: 02:00 05/05/2015
Valid to: 01:59 01/01/2016
USERTrust
Status: Valid
Valid Usage: EFS, Timestamp Signing,
Code Signing
Serial Number: 44 BE 0C 8B 50 00 24 B4 11 D3 36 2D E0 B3 5F 1B
Thumbprint: E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46
Algorithm: SHA1
Valid from: 20:31 09/07/1999
Valid to: 20:40 09/07/2019
Publisher: Afet
Prod version: .984..9
File version: .984..9
MachineType: 32-bit
Binary Version: 0.0.0.0
Original Name: InfusesPercolatorLeanings.exe
Internal Name: InfusesPercolatorLeanings.exe
Entropy: 7.315
MD5: 35646E6BB33303E35A685580222BDF78
SHA1: 24A4BCFECFE7CCC003367814ED8D38202FB88B3D
SHA512: 3C2D488902CC7B3D1C253AE2B9EA330BB90BB6BE2D92702326F591786CD1A3C9
Code : Tout sélectionner
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
11:b0:fe:dd:d5:9b:27:30:b5:be:6c:7f:a7:fd:b3:3d
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Code Signing CA
Validity
Not Before: Aug 2 00:00:00 2015 GMT
Not After : Jul 23 23:59:59 2016 GMT
Subject: C=UA/postalCode=61000, ST=Harkov, L=Kharkiv/streetAddress=97 vul.Myronosytska, O=Afet, CN=Afet
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:ba:0c:5c:6f:45:de:36:41:20:76:68:e2:43:8e:
b6:54:bf:09:bb:7b:ad:64:68:15:d7:57:03:a3:09:
e2:61:80:6a:e3:ff:32:d8:90:f2:3b:53:e4:a6:d6:
d4:15:bb:e4:1e:cc:04:e0:42:21:39:c4:88:7b:d4:
86:3e:52:92:8f:c7:09:42:cc:aa:b8:26:a7:9b:1f:
58:e5:2d:f8:79:34:80:87:5d:e8:c3:57:b3:5e:00:
cd:8e:cd:33:1b:8c:ad:cf:62:9b:90:12:0f:35:86:
fa:fe:58:20:59:12:45:46:7a:d0:a3:0a:12:b9:ce:
a0:9c:3a:0a:6d:e9:19:35:ad:e2:8a:1c:e6:7c:72:
ec:d9:ff:27:1a:a0:cf:6f:bc:0e:15:6f:0a:50:3f:
e8:eb:f1:a4:86:ad:62:d8:a6:95:7d:8f:e8:05:35:
56:49:d6:d8:4a:ce:85:75:02:6a:d9:ea:50:a4:59:
46:8d:b1:38:a4:37:73:aa:38:ca:c2:67:26:e1:9c:
40:30:5e:da:c4:e3:4a:4d:c3:57:af:ca:2e:aa:3e:
aa:49:84:a1:31:a0:a5:3c:ef:20:bf:42:20:16:ce:
70:cd:68:6d:31:e0:cd:69:3f:be:cb:08:5c:19:ee:
f5:c2:3e:c9:8e:c4:48:e7:65:ee:dd:0e:66:2e:d8:
5a:0b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:29:91:60:FF:8A:4D:FA:EB:F9:A6:6A:B8:CF:F9:E6:4B:BD:49:CE:12
X509v3 Subject Key Identifier:
6B:A4:D9:E5:D2:0C:97:62:46:32:62:23:C0:36:8F:B3:24:CF:E3:64
X509v3 Key Usage: critical
Digital Signature
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
Code Signing
Netscape Cert Type:
Object Signing
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.6449.1.2.1.3.2
CPS: https://secure.comodo.net/CPS
X509v3 CRL Distribution Points:
URI:http://crl.comodoca.com/COMODORSACodeSigningCA.crl
Authority Information Access:
CA Issuers - URI:http://crt.comodoca.com/COMODORSACodeSigningCA.crt
OCSP - URI:http://ocsp.comodoca.com
X509v3 Subject Alternative Name:
email:[email protected]
Signature Algorithm: sha256WithRSAEncryption
25:8a:c8:1a:87:dc:f8:62:77:c6:05:0a:00:53:c1:bd:27:3a:
09:d7:f7:8b:06:7f:07:f4:aa:4c:7c:73:2f:48:18:f4:96:87:
24:7e:cd:60:7c:70:50:16:86:88:12:83:2d:ac:ea:b5:84:aa:
bd:c9:26:e7:18:55:68:aa:ad:34:2f:18:37:8e:ca:e7:25:2c:
2c:e5:c7:8a:30:ec:51:a1:92:f6:1d:11:6a:9d:0d:20:cf:bc:
4c:92:57:95:7a:44:77:23:07:13:80:53:9e:96:df:0b:c4:0e:
a7:e4:97:d3:57:5e:0e:4f:ec:dc:ce:1e:36:4e:d2:1e:4c:45:
aa:80:a3:58:33:c7:c1:7f:f6:d6:8e:7d:e4:0c:e5:18:c4:6b:
27:64:3c:18:60:2f:68:b6:a0:ce:99:20:0e:ce:63:db:06:e4:
1a:cc:a0:83:9b:01:d8:6a:2f:12:16:70:72:df:22:5c:24:4a:
17:f7:d8:e3:40:4d:3f:c1:96:32:6f:47:79:4a:2d:9d:95:af:
ef:f3:7c:ab:80:36:d7:21:2c:a3:56:80:d2:02:15:5b:99:76:
52:c8:7c:81:a7:48:23:50:07:4a:9d:24:87:26:9e:40:a7:d7:
9c:a0:8d:f4:bd:3b:79:2e:c2:43:13:b3:5d:cd:dc:79:08:0f:
5f:27:14:0f
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
L'aventure continue suite à l'arrestation du cerveau présumé du botnet Dridex. Le botnet n'a pas été décapité et reste toujours très actif. Invincea a dernièrement rédigé un billet intitulé Dridex Returns with a Vengeance, Targeting French Users and Employing Comodo Signed Certificates. Avec tout le respect que l'on doit aux chercheurs d'Invincea, ça ne date pas de l'arrestation ; rien de nouveau à souligner.
"Furthermore, this malware was code signed by Comodo, a security company that provides digital certificates for software and websites. Enterprises that whitelist signed executables would have been particularly vulnerable to this attack"
Ce n'est pas les binaires signés par COMODO qui manquent, voir quelques exemples dans ce sujet. Concernant les factures, même chose, lire campagnes de courriels piégés avec fausses factures sous Word/Excel. Quant à l'utilisation du mot "vengeance" sur la France, sauf détails croustillants non publiés à ce jour, aucune preuve scientifique pour étayer et justifier ce terme donc pure spéculation. La France avait déjà été bien arrosée durant l'été 2015, lire Diffusion du botnet Dridex en août 2015 ( p. 59 / 206 ) + alertes CERTFR-2015-ACT-017 & CERTFR-2015-ALE-012
A noter l'apparition du compte Twitter @DridexBOT ( du 10 octobre 2015 au 23 décembre 2015 )
L'aventure continue suite à l'arrestation du cerveau présumé du botnet Dridex. Le botnet n'a pas été décapité et reste toujours très actif. Invincea a dernièrement rédigé un billet intitulé Dridex Returns with a Vengeance, Targeting French Users and Employing Comodo Signed Certificates. Avec tout le respect que l'on doit aux chercheurs d'Invincea, ça ne date pas de l'arrestation ; rien de nouveau à souligner.
"Furthermore, this malware was code signed by Comodo, a security company that provides digital certificates for software and websites. Enterprises that whitelist signed executables would have been particularly vulnerable to this attack"
Ce n'est pas les binaires signés par COMODO qui manquent, voir quelques exemples dans ce sujet. Concernant les factures, même chose, lire campagnes de courriels piégés avec fausses factures sous Word/Excel. Quant à l'utilisation du mot "vengeance" sur la France, sauf détails croustillants non publiés à ce jour, aucune preuve scientifique pour étayer et justifier ce terme donc pure spéculation. La France avait déjà été bien arrosée durant l'été 2015, lire Diffusion du botnet Dridex en août 2015 ( p. 59 / 206 ) + alertes CERTFR-2015-ACT-017 & CERTFR-2015-ALE-012
A noter l'apparition du compte Twitter @DridexBOT ( du 10 octobre 2015 au 23 décembre 2015 )
Re: Campagne Dridex - documents Microsoft Word & Excel piégé
Bonjour,
Lexsi Security Hub présente une partie des bas fonds avec l'article Dridex + Bruteres : la machine à spam Dridex vue de l’intérieur
Modulaire : Dridex est en effet capable de transformer n’importe quel poste infecté
en machine à spam qui va propager les fameux documents Microsoft Office Dridex.
Le botnet Dridex est divisé en plusieurs sous-botnets identifiés par un entier botid
Les sous-botnets les plus actifs en Europe jusqu’à présent ont été :
⬜ Le botnet 120 ( échantillon collecté ( cible la France entre juin à octobre 2015 ) )
⬜ Le botnet 121 ( plus rare )
⬜ Le botnet 200
⬜ Le botnet 220 ( échantillon collecté )
⬜ Le botnet 301 ( échantillon collecté )
Encore une fois, Dridex semble s'appuyer sur des programmes tiers afin de mener à bien ses opérations malveillantes. A l'aide d'un malware peu sophistiqué : Bruteres ( aka Fidobot.A / Trubsil.C), le botnet a été capable d'envoyer des millions d'emails piégés. Grâce à l'analyse de ce malware, nous avons ainsi pu voir la manière dont les spams Dridex sont construits et envoyés.
... lire la suite chez Lexsi + Dridex botnet 220 : Ammyy Admin
Liens connexes:
→ Appel à la vigilance : Les campagnes Dridex avec fausses factures continuent.
Cartographie du botnet Dridex #220 au 23 octobre 2015
Cartographie du botnet Dridex #301 au 26 octobre 2015
Cartographies de Peter Kruse, CSIS Security
Dridex actors resume operation with new distribution, Ursnif & Shifu banking Trojan
Lexsi Security Hub présente une partie des bas fonds avec l'article Dridex + Bruteres : la machine à spam Dridex vue de l’intérieur
Modulaire : Dridex est en effet capable de transformer n’importe quel poste infecté
en machine à spam qui va propager les fameux documents Microsoft Office Dridex.
Le botnet Dridex est divisé en plusieurs sous-botnets identifiés par un entier botid
Les sous-botnets les plus actifs en Europe jusqu’à présent ont été :
⬜ Le botnet 120 ( échantillon collecté ( cible la France entre juin à octobre 2015 ) )
⬜ Le botnet 121 ( plus rare )
⬜ Le botnet 200
⬜ Le botnet 220 ( échantillon collecté )
⬜ Le botnet 301 ( échantillon collecté )
Encore une fois, Dridex semble s'appuyer sur des programmes tiers afin de mener à bien ses opérations malveillantes. A l'aide d'un malware peu sophistiqué : Bruteres ( aka Fidobot.A / Trubsil.C), le botnet a été capable d'envoyer des millions d'emails piégés. Grâce à l'analyse de ce malware, nous avons ainsi pu voir la manière dont les spams Dridex sont construits et envoyés.
... lire la suite chez Lexsi + Dridex botnet 220 : Ammyy Admin
Liens connexes:
→ Appel à la vigilance : Les campagnes Dridex avec fausses factures continuent.
Cartographie du botnet Dridex #220 au 23 octobre 2015
Cartographie du botnet Dridex #301 au 26 octobre 2015
Cartographies de Peter Kruse, CSIS Security
Dridex actors resume operation with new distribution, Ursnif & Shifu banking Trojan
Re: Campagnes Dridex - documents Microsoft Word & Excel piég
Bonjour,
Depuis quelques heures, nous avons constaté une nette absence de nouveaux pourriels dans nos BAL témoins. En parallèle, nous constatons que bon nombre d'URLs de téléchargement des précédentes campagnes sont devenues indisponibles. Les codes erreurs capturés avant l'arrêt laissent à penser qu'il s'agit d'un dysfonctionnement en amont des gates, d'où la réaction en cascade sur les relais.
[BR] 187.5.6.136 (8008/TCP)
[DE] 84.200.52.52 (8080/TCP)
[FR] 178.32.136.167 (8880/TCP)
[FR] 178.33.167.120 (8880/TCP)
[GB] 78.129.133.249 (8880/TCP)
[GE] 213.157.198.39 (8880/TCP)
[ID] 103.252.100.44 (8880/TCP)
[IN] 117.239.73.244 (8880/TCP)
[NL] 185.70.187.241 (80/TCP)
[NL] 95.211.241.118 (8500/TCP)
[RO] 86.34.133.90 (8180/TCP)
[SV] 168.243.33.195 (8080/TCP)
[TH] 1.179.170.7 (8008/TCP)
[TH] 203.172.180.195 (8008/TCP)
[UA] 193.201.225.89 (80/TCP)
[UA] 91.223.88.54 (80/TCP)
[US] 199.175.55.116 (8080/TCP)
[US] 68.169.59.208 (8880/TCP)
Avant rupture, à intervalles courts, plusieurs mises à jour du même nom de fichier ont été observées.
→ SHA-256: 2E8A7FE250D97D0157A4AE4C4A675CCF5693DB2D5CF2F0409C72E8DF835BF94F
→ SHA-256: C7B262E98A3D03AF380BC1507B67E867590CFB7BE117EB17FF2C09CCB73FBB0E
→ SHA-256: F5CE698947E5AC2B3A01D2A46D8A62A3AD7F68175F28693667CD106A1224257D
...
Malgré les PE différents de ces dernières semaines, il s'agit au final du même malware et celui-ci est actif puisqu'il communique parfaitement avec la machine h1791119.stratoserver.net 85.214.152.31:4439/TCP de chez Strato Rechenzentrum AG située à Berlin en Allemagne.
⚔ A suivre...
Clin d'œil sur l'une des machines compromises qui diffuse l'échantillon SHA-256: E3AC1AA13026FEB600371D2AE37A55B682D3EFB857DD6573DA7987F7C01F52DE
Les fichiers .PHP ( web-shell, web-mailer,.. ) sont des scripts connus.
La reconstruction de la chronologie vis à vis des dates ne laisse pas indifférent ;)
Depuis quelques heures, nous avons constaté une nette absence de nouveaux pourriels dans nos BAL témoins. En parallèle, nous constatons que bon nombre d'URLs de téléchargement des précédentes campagnes sont devenues indisponibles. Les codes erreurs capturés avant l'arrêt laissent à penser qu'il s'agit d'un dysfonctionnement en amont des gates, d'où la réaction en cascade sur les relais.
[BR] 187.5.6.136 (8008/TCP)
[DE] 84.200.52.52 (8080/TCP)
[FR] 178.32.136.167 (8880/TCP)
[FR] 178.33.167.120 (8880/TCP)
[GB] 78.129.133.249 (8880/TCP)
[GE] 213.157.198.39 (8880/TCP)
[ID] 103.252.100.44 (8880/TCP)
[IN] 117.239.73.244 (8880/TCP)
[NL] 185.70.187.241 (80/TCP)
[NL] 95.211.241.118 (8500/TCP)
[RO] 86.34.133.90 (8180/TCP)
[SV] 168.243.33.195 (8080/TCP)
[TH] 1.179.170.7 (8008/TCP)
[TH] 203.172.180.195 (8008/TCP)
[UA] 193.201.225.89 (80/TCP)
[UA] 91.223.88.54 (80/TCP)
[US] 199.175.55.116 (8080/TCP)
[US] 68.169.59.208 (8880/TCP)
Avant rupture, à intervalles courts, plusieurs mises à jour du même nom de fichier ont été observées.
→ SHA-256: 2E8A7FE250D97D0157A4AE4C4A675CCF5693DB2D5CF2F0409C72E8DF835BF94F
→ SHA-256: C7B262E98A3D03AF380BC1507B67E867590CFB7BE117EB17FF2C09CCB73FBB0E
→ SHA-256: F5CE698947E5AC2B3A01D2A46D8A62A3AD7F68175F28693667CD106A1224257D
...
Malgré les PE différents de ces dernières semaines, il s'agit au final du même malware et celui-ci est actif puisqu'il communique parfaitement avec la machine h1791119.stratoserver.net 85.214.152.31:4439/TCP de chez Strato Rechenzentrum AG située à Berlin en Allemagne.
⚔ A suivre...
Clin d'œil sur l'une des machines compromises qui diffuse l'échantillon SHA-256: E3AC1AA13026FEB600371D2AE37A55B682D3EFB857DD6573DA7987F7C01F52DE
Les fichiers .PHP ( web-shell, web-mailer,.. ) sont des scripts connus.
La reconstruction de la chronologie vis à vis des dates ne laisse pas indifférent ;)
Re: Campagnes Dridex - documents Microsoft Word & Excel piég
Une vue également partagée avec les chercheurs de chez Proofpoint.
November 17 presented an interesting variation in Dridex and Shifu distribution techniques, as Proofpoint researchers observed both spreading via compromised websites that led to Exploit Kits. In these cases, the same compromised web site could infect a user with one Trojan or the other depending on the user's geographical location.[...]
Dridex rarely spreads via Exploit Kits. Some rare examples of this behavior include spreading via Angler EK in 2014 and via malvertising in Poland on May 2, 2015.[...]
Since their return to operation at the beginning of October, the threat actors behind these malicious document attachment campaigns have increased the volume and the variety of their campaigns. Even if it only lasted for a single day, the apparent substitution of Dridex spam with distribution via malvertising and EK shows that the Dridex threat actors increasing their efforts to vary their delivery and payloads, including leveraging a TDS to tailor the payload to the region of the victim. While it is too soon to claim that this is the start of a new trend for these actors, it does show these actors can adapt quickly and that organizations must be able to detect and stop these threats through a variety of vectors.
( November 18, 2015 ) http://proofpoint.com/us/threat-insight ... ts-day-off
Notes: Le kit d'exploitation de vulnérabilités Angler EK & le programme spécialisé dans le vol de données bancaires Dridex ont dernièrement été malmenés par les chercheurs en sécurité, les autorités et la justice.
ps: Merci à ... d'avoir envoyé 85.214.152.31:4439/TCP aux oubliettes quelques heures après publication.
A suivre, Dridex, v.3.161 ...
https://threatpost.com/dridex-borrows-t ... rs/115952/
https://www.grahamcluley.com/2016/01/dr ... customers/
http://securityintelligence.com/dridex- ... -accounts/
Shortcuts & local DNS poisoning
November 17 presented an interesting variation in Dridex and Shifu distribution techniques, as Proofpoint researchers observed both spreading via compromised websites that led to Exploit Kits. In these cases, the same compromised web site could infect a user with one Trojan or the other depending on the user's geographical location.[...]
Dridex rarely spreads via Exploit Kits. Some rare examples of this behavior include spreading via Angler EK in 2014 and via malvertising in Poland on May 2, 2015.[...]
Since their return to operation at the beginning of October, the threat actors behind these malicious document attachment campaigns have increased the volume and the variety of their campaigns. Even if it only lasted for a single day, the apparent substitution of Dridex spam with distribution via malvertising and EK shows that the Dridex threat actors increasing their efforts to vary their delivery and payloads, including leveraging a TDS to tailor the payload to the region of the victim. While it is too soon to claim that this is the start of a new trend for these actors, it does show these actors can adapt quickly and that organizations must be able to detect and stop these threats through a variety of vectors.
( November 18, 2015 ) http://proofpoint.com/us/threat-insight ... ts-day-off
Notes: Le kit d'exploitation de vulnérabilités Angler EK & le programme spécialisé dans le vol de données bancaires Dridex ont dernièrement été malmenés par les chercheurs en sécurité, les autorités et la justice.
ps: Merci à ... d'avoir envoyé 85.214.152.31:4439/TCP aux oubliettes quelques heures après publication.
A suivre, Dridex, v.3.161 ...
https://threatpost.com/dridex-borrows-t ... rs/115952/
https://www.grahamcluley.com/2016/01/dr ... customers/
http://securityintelligence.com/dridex- ... -accounts/
Shortcuts & local DNS poisoning
Re: Campagnes Dridex - documents Microsoft Word & Excel piég
Moritz Kroll (Avira) a écrit :"The content behind the malware download URL has been replaced, it's now providing an original, up-to-date Avira web installer instead of the usual Dridex loader"
source : An unknown white hat hacker pwned a part of dridex botnet
Comme personne n'a le fin mot de cette histoire, ce "mystère" est vite devenu une belle accroche journalistique. Le titre très pompeux "Mystery hacker pwns Dridex Trojan botnet..." est à la limite de l'intox puisque vous l'aurez compris il ne s'agit ici que d'un vulgaire remplacement de fichier sur un serveur déjà compromis. C'était une occasion à ne pas manquer pour la société Avira afin de gagner un peu en visibilité sur le sujet auprès de ses principaux clients. C'est dingue comme le hasard fait bien les choses puisqu'on découvre un nouveau botid attribué à l'Allemagne et donc on peux facilement déduire qu'elle sera probablement ciblée dans les prochaines campagnes. Bref, tout ça manque un peu d'entropie...
→ Échantillon EE2F8489C8C375E931423BEF4F9C08FBA60EC600D521256FD5EEB8CA877E8325 sur VXV.
↘ http://www.brycampbell.co.uk/new-blog/2 ... an-upgrade
Malicious actor combines personalized email, variety of malware to target executives
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Campagnes Dridex - documents Microsoft Word & Excel piég
Des emails malicieux sont envoyés au format Word et reprenant les campagnes précédentes Dridex, cette fois-ci pour pousser un du rançongiciel chiffreur de fichiers / Crypto-Ransomware du nom de Locky.
Les liens malekal.com : La France est assez visée par ces campagnes d'emails malicieux.
Les liens malekal.com : La France est assez visée par ces campagnes d'emails malicieux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Campagnes Dridex - documents Microsoft Word & Excel piégés
Après une forte baisse ainsi que son petit frère Locky (cf Locky en baisse).
Tout cela est lié à la mise en sommeil du botnet Necurs.
Les campagnes d'emails piégés Dridex font leur retour.
Les entreprises vont devoir doubler de vigilance.
Les macros Office malicieuses et les VBS tiennent le haut du tableau dans le contenu de ces campagnes d'emails piégés.
Rien de vraiment nouveau et donc plutôt un retour à la normale.
Exemple d'emails malicieux avec des pièces jointes en Office ou PDF :
Tout cela est lié à la mise en sommeil du botnet Necurs.
Les campagnes d'emails piégés Dridex font leur retour.
Les entreprises vont devoir doubler de vigilance.
Les macros Office malicieuses et les VBS tiennent le haut du tableau dans le contenu de ces campagnes d'emails piégés.
Rien de vraiment nouveau et donc plutôt un retour à la normale.
Exemple d'emails malicieux avec des pièces jointes en Office ou PDF :
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Campagnes Dridex - documents Microsoft Word & Excel piégés
Kaspersky a publié un article sur les différentes versions et évolutions au cours du temps du Trojan Dridex.
Première détection en Septembre 2011.
Il s'agissait d'une variante capable de se propager par clé USB : Worm.Win32.Cridex.
La version 1.10 (Juin 2014) possédait beaucoup de similitudes avec Zeus GameOvert dans les premières versions
Puis différentes évolutions, comme des tentatives de contourner l'UAC (contrôle des comptes utilisateurs).
2015, en version 2, le botnet Dridex passe en mode de communication P2P.
Version 3 et 4 sont des améliorations du protocole de communication qui passe en chiffré et rendre l'analyses du cheval de troie plus difficile.
Kaspersky estime que les auteurs de Dridex ont pu voler environ 40 millions de dollars en 2016.
La distribution de Dridex dans le monde, la France est relativement ciblée.
L'Europe assez fortement par rapport aux USA, ce qui est assez rare.
source : Dridex: A History of Evolution
Première détection en Septembre 2011.
Il s'agissait d'une variante capable de se propager par clé USB : Worm.Win32.Cridex.
La version 1.10 (Juin 2014) possédait beaucoup de similitudes avec Zeus GameOvert dans les premières versions
Puis différentes évolutions, comme des tentatives de contourner l'UAC (contrôle des comptes utilisateurs).
2015, en version 2, le botnet Dridex passe en mode de communication P2P.
Version 3 et 4 sont des améliorations du protocole de communication qui passe en chiffré et rendre l'analyses du cheval de troie plus difficile.
Kaspersky estime que les auteurs de Dridex ont pu voler environ 40 millions de dollars en 2016.
La distribution de Dridex dans le monde, la France est relativement ciblée.
L'Europe assez fortement par rapport aux USA, ce qui est assez rare.
source : Dridex: A History of Evolution
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 35 Réponses
- 380 Vues
-
Dernier message par Parisien_entraide
-
- 1 Réponses
- 32 Vues
-
Dernier message par Parisien_entraide
-
- 5 Réponses
- 46 Vues
-
Dernier message par Parisien_entraide
-
- 2 Réponses
- 124 Vues
-
Dernier message par Boudebou22
-
- 1 Réponses
- 100 Vues
-
Dernier message par Malekal_morte