網(wǎng)絡(luò)犯罪分子正在濫用微軟可信簽名平臺(tái)，通過(guò)有效期僅三天的短期證書(shū)為惡意軟件可執(zhí)行程序進(jìn)行代碼簽名。

長(zhǎng)期以來(lái)，威脅行為者一直覬覦代碼簽名證書(shū)，因?yàn)檫@類(lèi)證書(shū)可用于為惡意軟件披上合法企業(yè)的外衣。

惡意軟件簽名的優(yōu)勢(shì)與挑戰(zhàn)

經(jīng)過(guò)簽名的惡意程序不僅能繞過(guò)通常會(huì)攔截未簽名可執(zhí)行文件的安全過(guò)濾機(jī)制，還能降低系統(tǒng)對(duì)其的警惕性。 威脅行為者的終極目標(biāo)是獲取擴(kuò)展驗(yàn)證（EV）代碼簽名證書(shū)，因?yàn)檫@些證書(shū)由于更嚴(yán)格的驗(yàn)證流程，會(huì)自動(dòng)獲得許多網(wǎng)絡(luò)安全程序的更高信任度。更重要的是，EV證書(shū)被認(rèn)為可以在SmartScreen中獲得聲譽(yù)提升，從而幫助繞過(guò)通常為未知文件顯示的警報(bào)。

然而，EV代碼簽名證書(shū)難以獲取，通常需要從其他公司竊取，或者威脅行為者需要設(shè)立虛假企業(yè)并花費(fèi)數(shù)千美元購(gòu)買(mǎi)一個(gè)。此外，一旦證書(shū)被用于惡意軟件活動(dòng)，通常會(huì)被吊銷(xiāo)，使其無(wú)法用于未來(lái)的攻擊。

濫用微軟可信簽名服務(wù)

最近，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)威脅行為者利用微軟可信簽名服務(wù)為其惡意軟件簽署有效期僅為三天的代碼簽名證書(shū)。這些惡意軟件樣本由“Microsoft ID Verified CS EOC CA 01”簽名，證書(shū)有效期僅為三天。雖然證書(shū)在簽發(fā)三天后過(guò)期，但需要注意的是，使用該證書(shū)簽名的可執(zhí)行文件在被吊銷(xiāo)之前仍被視為有效。

此后，其他研究人員和BleepingComputer發(fā)現(xiàn)了許多用于正在進(jìn)行的惡意軟件活動(dòng)的樣本，包括用于Crazy Evil Traffers加密貨幣盜竊活動(dòng)[VirusTotal]和Lumma Stealer[VirusTotal]活動(dòng)的樣本。

Crazy Evil traffers活動(dòng)中的簽名DLL來(lái)源：BleepingComputer

微軟可信簽名服務(wù)于2024年推出，是一項(xiàng)基于云的服務(wù)，允許開(kāi)發(fā)者輕松地為其程序獲得微軟的簽名。微軟在服務(wù)公告中表示：“可信簽名是一項(xiàng)完整的代碼簽名服務(wù)，為開(kāi)發(fā)者和IT專(zhuān)業(yè)人員提供直觀的體驗(yàn)，由微軟管理的認(rèn)證機(jī)構(gòu)支持。該服務(wù)支持公共和私有信任簽名場(chǎng)景，并包括時(shí)間戳服務(wù)。”

該平臺(tái)提供每月9.99美元的訂閱服務(wù)，旨在讓開(kāi)發(fā)者輕松簽署其可執(zhí)行文件，同時(shí)提供額外的安全性。這種增強(qiáng)的安全性通過(guò)使用短期證書(shū)實(shí)現(xiàn)，這些證書(shū)在濫用情況下可以輕松吊銷(xiāo)，并且從不直接向開(kāi)發(fā)者頒發(fā)證書(shū)，防止其在發(fā)生泄露時(shí)被盜。

微軟還表示，通過(guò)可信簽名服務(wù)頒發(fā)的證書(shū)為其服務(wù)簽名的可執(zhí)行文件提供了類(lèi)似的SmartScreen聲譽(yù)提升。可信簽名網(wǎng)站上的FAQ寫(xiě)道：“可信簽名通過(guò)提供SmartScreen的基本聲譽(yù)、Windows上的用戶模式信任以及完整性檢查簽名驗(yàn)證合規(guī)性，確保您的應(yīng)用程序受到信任?！?/p>

為了防止濫用，微軟目前只允許在已運(yùn)營(yíng)三年的公司名下頒發(fā)證書(shū)。然而，如果個(gè)人同意證書(shū)以其名義頒發(fā)，則可以更容易地注冊(cè)并獲得批準(zhǔn)。

更簡(jiǎn)便的路徑

一位名為“Squiblydoo”的網(wǎng)絡(luò)安全研究員和開(kāi)發(fā)者多年來(lái)一直在追蹤濫用證書(shū)的惡意軟件活動(dòng)，他告訴BleepingComputer，他認(rèn)為威脅行為者出于便利性正在轉(zhuǎn)向微軟的服務(wù)。

“我認(rèn)為這種轉(zhuǎn)變有幾個(gè)原因。長(zhǎng)期以來(lái)，使用EV證書(shū)一直是標(biāo)準(zhǔn)，但微軟已經(jīng)宣布了對(duì)EV證書(shū)的更改，”Squiblydoo告訴BleepingComputer。“然而，EV證書(shū)的更改對(duì)任何人來(lái)說(shuō)都不清楚：無(wú)論是證書(shū)提供商還是攻擊者。由于這些潛在的變化和缺乏明確性，僅僅擁有一個(gè)代碼簽名證書(shū)可能就足以滿足攻擊者的需求?！?/p>

“在這方面，微軟證書(shū)的驗(yàn)證過(guò)程比EV證書(shū)的驗(yàn)證過(guò)程要簡(jiǎn)單得多：由于EV證書(shū)的模糊性，使用微軟證書(shū)是有意義的?！?/p>

BleepingComputer就濫用問(wèn)題聯(lián)系了微軟，微軟表示公司使用威脅情報(bào)監(jiān)控來(lái)發(fā)現(xiàn)并吊銷(xiāo)證書(shū)?！拔覀兪褂弥鲃?dòng)威脅情報(bào)監(jiān)控來(lái)不斷尋找任何對(duì)我們簽名服務(wù)的誤用或?yàn)E用，”微軟告訴BleepingComputer?！爱?dāng)我們檢測(cè)到威脅時(shí)，我們會(huì)立即采取行動(dòng)，如廣泛吊銷(xiāo)證書(shū)和暫停賬戶。您分享的惡意軟件樣本已被我們的反惡意軟件產(chǎn)品檢測(cè)到，我們已經(jīng)采取行動(dòng)吊銷(xiāo)證書(shū)并防止進(jìn)一步的賬戶濫用。”