滥用Microsoft可信签名服务
最近,网络安全研究人员发现威胁行为者利用Microsoft Trusted Signing服务使用有效期为三天的短期代码签名证书对其恶意软件进行签名。
这些恶意软件样本由“Microsoft ID Verified CS EOC CA 01”签名,证书有效期仅为三天。虽然证书在颁发三天后就会过期,但需要注意的是,使用该证书签名的可执行文件在颁发者撤销证书之前仍将被视为有效。
从那时起,其他研究人员和 BleepingComputer 发现了正在进行的恶意软件活动中使用的许多其他样本,包括Crazy Evil Traffers加密盗窃活动和 Lumma Stealer活动中使用的样本。
Crazy Evil转运活动签名的DLL,来源:BleepingComputer
Microsoft Trusted Signing 服务于2024 年推出,是一项基于云的服务,允许开发人员轻松地让他们的程序获得 Microsoft 的签名。
微软在公告中表示:“Trusted Signing 是一项完整的代码签名服务,由微软管理的认证机构提供支持,为开发人员和 IT 专业人员提供直观的体验。”
“该服务支持公共和私人信任签名场景,并包括时间戳服务。”
该平台提供每月9.99美元的订阅服务,旨在让开发人员轻松签署其可执行文件,同时提供额外的安全性。
这种增强的安全性是通过使用短期证书来实现的,短期证书在被滥用时很容易被撤销,并且永远不会将证书直接颁发给开发人员,从而防止在发生违规时证书被盗。
微软还表示,通过受信任签名服务颁发的证书为其服务签名的可执行文件提供了类似的SmartScreen声誉提升。
受信任签名网站上的常见问题解答中写道:“受信任签名通过在智能屏幕上提供基本信誉、在Windows上提供用户模式信任以及符合完整性检查签名验证来确保您的应用程序受到信任。”
为了防止滥用,微软目前只允许以营业满三年的公司名称颁发证书。
然而,如果个人同意以自己的名义颁发证书,他们可以更容易地注册并获得批准。
更简单的路径
一位名为“Squiblydoo”的网络安全研究员和开发人员多年来一直在追踪滥用证书的恶意软件活动,他告诉 BleepingComputer,他们认为威胁行为者出于方便而转而使用微软的服务。
“我认为改变的原因有几个。长期以来,使用EV证书一直是标准,但微软已宣布对EV证书进行更改,”Squablydoo告诉BleepingComputer。
“然而,EV证书的变化对任何人来说都不是很清楚:证书提供商不清楚,攻击者也不清楚。然而,由于这些潜在的变化和缺乏清晰度,仅仅拥有代码签名证书可能就足以满足攻击者的需求。”
“在这方面,微软证书的验证过程比EV证书的验证过程简单得多:由于EV证书存在模糊性,因此使用微软证书是有意义的。”
微软表态
BleepingComputer就这一滥用行为联系了微软,并获悉该公司使用威胁情报监控来查找证书并在发现证书时予以撤销。
微软告诉BleepingComputer:“我们使用主动威胁情报监控来不断寻找对我们的签名服务的任何滥用或滥用。”
“当我们检测到威胁时,我们会立即采取诸如大范围撤销证书和暂停账户等措施来缓解威胁。您分享的恶意软件样本已被我们的反恶意软件产品检测到,我们已采取行动撤销证书并防止进一步的账户滥用。”
【闲话简评】
攻击者利用虚假身份或合规企业外壳轻易获取证书,而现有审核机制未能动态评估申请者真实意图。微软可信签名服务的滥用暴露了便捷性与安全性间的深层矛盾。该服务设计初衷是简化开发者签名流程,但短期证书机制(三天有效期)与宽松的验证门槛(允许个人名义申请)为攻击者提供了“合法化”恶意软件的窗口。尽管微软通过威胁情报监控主动吊销证书,但滞后响应难以应对攻击时效性——三天内签发的恶意文件仍可广泛传播,甚至借助SmartScreen信任提升绕过检测。微软需重构信任模型:引入多因素身份验证、实时行为分析及证书用途追踪,并联合行业建立黑名单共享机制,从源头阻断滥用。
参考资源
1、https://www.bleepingcomputer.com/news/security/microsoft-trust-signing-service-abused-to-code-sign-malware/
2、https://azure.microsoft.com/en-us/products/trusted-signing
原文始发于微信公众号(网空闲话plus):微软可信签名服务遭恶意滥用!三天有效证书成黑客“隐身衣”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论