Yara Rule - 취소 된 후 잠재적으로 손상된 서명 인증서로 서명 한 바이너리를 감지 (Philandro Software Gmbh, 0DBF152DEAP0B981A8A938D53F769DB8; 유효성 검사를 위해 날짜를 사용하는 버전)

🧱 보안 정책/룰 관련
1

Yara Rule - 취소 된 후 잠재적으로 손상된 서명 인증서로 서명 한 바이너리를 감지 (Philandro Software Gmbh, 0DBF152DEAP0B981A8A938D53F769DB8; 유효성 검사를 위해 날짜를 사용하는 버전)

Yara 정의.

Yara Rule - Detects binaries signed with a potentially compromised signing certificate of AnyDesk after it was revoked (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; version that uses dates for validation)

Yara definition.

Author: Florian Roth

https://download.anydesk.com/changelog.txt

date = "2024-02-02"
score = 75
uint16(0) == 0x5a4d and
pe.signatures[i].serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" and```


[https://github.com/Neo23x0/signature-base/commit/45f482a2a157d72933b787a50a38988cc7fdf8d4](https://github.com/Neo23x0/signature-base/commit/45f482a2a157d72933b787a50a38988cc7fdf8d4)