数字签名-metatwin

admin 2023年3月8日16:30:03评论15 views字数 978阅读3分15秒阅读模式

描述

这个项目的一个版本已经存在了好几年,通过修改它的元数据来帮助二进制文件融入目标环境。二进制文件的元数据可以替换为源的元数据。这包括产品名称、产品版本、文件版本、版权等值。除了标准元数据之外,sigthief 现在还用于复制数字签名。

安装

下载链接,公众号回复"数字签名"获取。

下载并解压两个文件

将Resource Hacker解压到 .srcresource_hackerResourceHacker.exe

数字签名-metatwin

用法

SYNOPSIS    MetaTwin copies metadata and AuthentiCode signature from one file and injects into another.
SYNTAX Invoke-MetaTwin [-Source] <Object> [-Target] <Object> [-Sign]
Source Source binary containing metadata and signature Target Target binary that will be updated
    Sign       Optional setting that will add the source's digital signature   

运行

以管理员运行cmd

c:> c:toolsmetatwinc:> powershell -ep bypassPS> Import-Module c:toolsmetatwin.ps1PSInvoke-MetaTwin(被复制数字签名路径) -Source c:windowssystem32netcfgx.dll -Target .123.exe(软件路径) -Sign

数字签名-metatwin

等待程序运行完成会出现一个文件夹

数字签名-metatwin

文件内出现两个软件,进行对比发现一个是有数字签名的

数字签名-metatwin

应用场景

常用于免杀木马的上传。

常用软件进行查杀木马查杀,通过木马123.exe和增加签名的木马进行对比,发现增加公司名和描述,大大增加了木马不被查杀的概率。

数字签名-metatwin

通过火绒剑网络的分析,还是不难发现这是个未知文件以及远程地址的IP就可以推断出是个木马或者未知程序(签名只是赌一把敢不敢删除微软的程序,修改木马名字和图片也是必要的)。

数字签名-metatwin


参考链接:https://github.com/threatexpress/metatwin

原文始发于微信公众号(北极星sec):数字签名-metatwin

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月8日16:30:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数字签名-metatwinhttp://cn-sec.com/archives/1245341.html

发表评论

匿名网友 填写信息