关键词
恶意软件
网络安全研究人员近日发现,犯罪团伙正在滥用微软的可信签名服务(Microsoft Trusted Signing),为恶意软件签署有效期为三天的短期代码签名证书。这些恶意软件样本由“Microsoft ID Verified CS EOC CA 01”签名,证书仅在三天内有效。尽管证书在签发后三天内到期,但值得注意的是,只要证书未被撤销,已签名的可执行文件仍会被视为有效。
然而,EV证书的获取难度较大,通常需要从其他公司窃取,或者犯罪团伙通过建立虚假企业并花费数千美元购买。此外,一旦证书被用于恶意软件活动,通常会被撤销,无法用于未来的攻击。
该平台提供每月9.99美元的订阅服务,旨在简化开发者对可执行文件的签名流程,同时提供额外的安全性。这种安全性通过使用可轻松撤销的短期证书以及不直接向开发者签发证书来实现,从而防止证书在数据泄露中被盗。微软还声称,通过可信签名服务签发的证书能为可执行文件提供类似SmartScreen的信誉提升。
防范措施与犯罪动机
为了防止滥用,微软目前仅允许经营三年以上的企业以公司名义签发证书。然而,如果个人同意以个人名义签发证书,则更容易获得批准。
网络安全研究员“Squiblydoo”向BleepingComputer表示,犯罪团伙转而使用微软的服务主要是出于便利性考虑。长期以来,使用EV证书一直是标准做法,但微软宣布了对EV证书的变更,而这一变更的细节并不明确,导致犯罪团伙可能认为仅拥有代码签名证书就足以满足其需求。此外,微软证书的验证流程比EV证书简单得多,进一步促使犯罪团伙选择这一途径。
微软的回应
针对这一滥用行为,微软表示正在通过威胁情报监控来发现和撤销被滥用的证书。微软告诉BleepingComputer:“我们使用主动的威胁情报监控不断寻找签名服务的任何误用或滥用行为。当我们检测到威胁时,我们会立即采取行动,例如广泛撤销证书和暂停账户。您分享的恶意软件样本已被我们的反恶意软件产品检测到,我们已经采取措施撤销证书并防止进一步滥用账户。”
来源:https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/
END
原文始发于微信公众号(安全圈):【安全圈】微软可信签名服务被滥用为恶意软件签名
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论