Sneed-Group/Sneed-Reactivity
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Sneed-Reactivity/yara-ReversingLabs/exploit/Win32.Exploit.CVE20200601.yara
Sam Sneed 08e8d462fe OMG ISTG PLS WORK 
RED PILL 🔴 💊
2024-07-25 12:43:35 -05:00

253 lines
No EOL
9.6 KiB
Text
Raw Permalink Blame History

import "pe"
rule Win32_Exploit_CVE20200601 : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "EXPLOIT"
exploit = "CVE-2020-0601"
description = "Yara rule that detects CVE-2020-0601 exploit."
tc_detection_type = "Exploit"
tc_detection_name = "CVE-2020-0601"
tc_detection_factor = 5
strings:
$oid_prime_explicit = {
06 07 2A 86 48 CE 3D 01 01
}
$ecc_public_key_1 = {
04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B
B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28
FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D
43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D
4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87
94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86
4A
}
$ecc_public_key_2 = {
04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66
02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5
9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27
A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF
6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C
55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC
20
}
$ecc_public_key_3 = {
04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92
3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83
89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A
3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D
01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B
D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3
F9
}
$ecc_public_key_4 = {
04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D
C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB
85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6
C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3
60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4
FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C
06
}
$ecc_public_key_5 = {
04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6
87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59
65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62
12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8
4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F
A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8
C0
}
$ecc_public_key_6 = {
04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA
3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92
B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F
C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A
BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09
5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B
BD
}
$ecc_public_key_7 = {
04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18
F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23
15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC
32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3
67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97
B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97
99
}
$ecc_public_key_8 = {
04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE
73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0
CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C
17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B
AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE
AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2
3E
}
$ecc_public_key_9 = {
04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B
2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52
C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91
E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16
DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7
C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA
B5
}
$ecc_public_key_10 = {
04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF
D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F
15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C
2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28
25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD
43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD
21
}
$ecc_public_key_11 = {
04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4
AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24
3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB
77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4
4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B
A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06
E9
}
$ecc_public_key_12 = {
04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64
4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64
6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76
95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C
25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A
42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1
46
}
$ecc_public_key_13 = {
04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF
05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D
22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A
9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A
A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1
FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29
95
}
$ecc_public_key_14 = {
04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD
10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A
77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32
62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C
A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C
ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A
31
}
$ecc_public_key_15 = {
04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92
7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3
D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC
18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6
63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72
6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B
29
}
$ecc_public_key_16 = {
04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6
5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C
61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2
21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4
F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33
9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79
79
}
$ecc_public_key_17 = {
04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D
E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF
2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E
C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2
7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F
AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B
36
}
$ecc_public_key_18 = {
04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57
A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F
66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D
02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49
C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0
45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29
39
}
$ecc_public_key_19 = {
04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4
AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1
57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73
0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C
1D
}
$ecc_public_key_20 = {
04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE
B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8
E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75
DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86
31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA
C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07
AC
}
$ecc_public_key_21 = {
04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F
6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6
87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6
AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21
6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28
42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3
35
}
$ecc_public_key_22 = {
04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7
FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F
EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28
19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C
A9
}
condition:
uint16(0) == 0x5A4D and
(
$oid_prime_explicit
) and
(
any of ($ecc_public_key_*)
) and
(
pe.number_of_signatures > 0
)
}
Reference in a new issue View git blame Copy permalink