N
N.
WinUser
- Aufkommendes Ereignis - Zertifikatsrotation...
- #1
Hat jemand IOCs für das widerrufene AnyDesk-Zertifikat geschrieben? Es scheint, dass AnyDesk eine 48-stündige "Wartung" hatte, dann ihr Code-Signierungs-Zertifikat abgelaufen ist und erzwungene Updates durchgeführt wurden. Ich möchte sehen, ob jemand in der Lage war, Informationen über das Zertifikat zu sammeln und IOCs dafür zu erstellen.
Edit: Ich habe einige IOCs dank Cyber Twitter Intelligence gefunden, bin mir aber nicht sicher, wie ich eine Insight-Abfrage schreiben soll, um nach den Zertifikatsinformationen zu suchen.
Diese sehen nach einer Seriennummer und Issuer-Signatur aus der Yara-Regel von Florian aus:
(Link zum Twitter-Beitrag in den Kommentaren)
strings:
$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"
Edit: Ich habe einige IOCs dank Cyber Twitter Intelligence gefunden, bin mir aber nicht sicher, wie ich eine Insight-Abfrage schreiben soll, um nach den Zertifikatsinformationen zu suchen.
Diese sehen nach einer Seriennummer und Issuer-Signatur aus der Yara-Regel von Florian aus:
(Link zum Twitter-Beitrag in den Kommentaren)
strings:
$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"