Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名

admin 2025年3月24日14:09:34评论17 views字数 1985阅读6分37秒阅读模式

更多全球网络安全资讯尽在邑安全

Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名

网络犯罪分子正在滥用 Microsoft 的受信任签名平台,使用有效期为三天的短期证书对恶意软件可执行文件进行代码签名。

长期以来,威胁行为者一直在寻找代码签名证书,因为它们可用于对恶意软件进行签名,使其看起来像是来自合法公司。

签名恶意软件还有一个优势,即可能会绕过通常会阻止未签名的可执行文件的安全过滤器,或者至少对它们持较少的怀疑态度。

威胁行为者的圣杯是获得扩展验证 (EV) 代码签名证书,因为由于更严格的验证过程,它们会自动从许多网络安全程序那里获得更高的信任。更重要的是,EV 证书被认为可以在 SmartScreen 中获得声誉提升,有助于绕过通常为未知文件显示的警报。

然而,EV 代码唱证书可能很难获得,需要从其他公司窃取它们,或者让威胁行为者建立虚假业务并花费数千美元购买。此外,一旦证书用于恶意软件活动,它通常会被撤销,使其无法用于未来的攻击。

滥用 Microsoft 受信任签名服务

最近,网络安全研究人员发现威胁行为者利用 Microsoft 受信任签名服务,使用短期的三天代码签名证书对其恶意软件进行签名。

Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名

这些恶意软件样本由“Microsoft ID 验证的 CS EOC CA 01”签名,证书的有效期仅为三天。虽然证书在颁发三天后过期,但请务必注意,在颁发者吊销证书之前,使用该证书签名的可执行文件仍将被视为有效。

从那时起,其他研究人员和 BleepingComputer 发现了许多其他样本,这些样本用于正在进行的恶意软件活动,包括 Crazy Evil Traffers 加密盗窃活动 [VirusTotal] 和 Lumma Stealer [VirusTotal] 活动中使用的样本。

Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名来自 Crazy Evil traffers 活动的

Microsoft Trusted Signing 服务于 2024 年推出,是一项基于云的服务,允许开发人员轻松地让 Microsoft 签署他们的程序。
“可信签名是一项完整的代码签名服务,为开发人员和 IT 专业人员提供直观的体验,由 Microsoft 管理的认证机构提供支持,”Microsoft 为该服务发布的公告中写道。
“该服务支持公共和私有信任签名方案,并包括时间戳服务。”
该平台提供每月 9.99 美元的订阅服务,旨在让开发人员轻松签署他们的可执行文件,同时还提供额外的安全性。
这种提高的安全性是通过使用短期证书来实现的,这些证书在滥用时很容易被撤销,并且从不直接向开发人员颁发证书,以防止它们在发生违规时被盗。
Microsoft 还表示,通过可信签名服务颁发的证书为由其服务签名的可执行文件提供了类似的 SmartScreen 声誉提升。
“可信签名通过在智能屏幕上提供基本声誉、在 Windows 上提供用户模式信任以及符合完整性检查签名验证,确保您的应用程序受到信任,”可信签名网站上的常见问题解答中写道。
为了防止滥用,Microsoft 目前只允许以公司名称颁发已经营三年的证书。
但是,如果个人对以他们的名义颁发的证书感到满意,他们可以更轻松地注册并获得批准。

更简单的路径

一位被称为“Squiblydoo”的网络安全研究人员和开发人员多年来一直在跟踪滥用证书的恶意软件活动,他告诉 BleepingComputer,他们认为威胁行为者出于方便而转向 Microsoft 的服务。
“我认为这种变化有几个原因。长期以来,使用 EV 证书一直是标准,但 Microsoft 已经宣布对 EV 证书进行更改,“Squiblydoo 告诉 BleepingComputer。
“但是,EV 证书的变化真的不是任何人都清楚:证书提供商不清楚,攻击者也不清楚。但是,由于这些潜在的变化和缺乏明确性,仅拥有代码签名证书可能就足以满足攻击者的需求。
“在这方面,Microsoft 证书的验证过程比 EV 证书的验证过程要容易得多:由于 EV 证书的歧义,使用 Microsoft 证书是有意义的。”
BleepingComputer 就滥用行为联系了 Microsoft,并被告知该公司使用威胁情报监控来查找和撤销发现的证书。
“我们使用主动威胁情报监控来不断寻找任何滥用或滥用我们的签名服务的行为,”Microsoft 告诉 BleepingComputer。
“当我们检测到威胁时,我们会立即通过广泛的证书吊销和帐户暂停等措施来缓解威胁。我们反恶意软件产品检测到了您共享的恶意软件样本,我们已经采取措施吊销证书并防止进一步的帐户滥用。

原文来自: www.bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/

原文始发于微信公众号(邑安全):Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日14:09:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名http://cn-sec.com/archives/3878330.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息