【安全圈】微软可信签名服务被滥用为恶意软件签名

关键词

恶意软件

网络安全研究人员近日发现，犯罪团伙正在滥用微软的可信签名服务（Microsoft Trusted Signing），为恶意软件签署有效期为三天的短期代码签名证书。这些恶意软件样本由“Microsoft ID Verified CS EOC CA 01”签名，证书仅在三天内有效。尽管证书在签发后三天内到期，但值得注意的是，只要证书未被撤销，已签名的可执行文件仍会被视为有效。

代码签名证书的重要性

长期以来，代码签名证书一直是犯罪团伙追逐的目标，因为它们可以用来将恶意软件伪装成来自合法公司的软件。签名的恶意软件还具有绕过安全过滤器的优势，这些过滤器通常会阻止未签名的可执行文件，或者至少对它们持怀疑态度。

对于犯罪团伙来说，获取扩展验证（EV）代码签名证书堪称“圣杯”，因为它们通过更严格的验证程序自动获得许多网络安全工具的信任。更重要的是，EV证书在SmartScreen中能够提升信誉，有助于绕过通常为未知文件显示的警告。
然而，EV证书的获取难度较大，通常需要从其他公司窃取，或者犯罪团伙通过建立虚假企业并花费数千美元购买。此外，一旦证书被用于恶意软件活动，通常会被撤销，无法用于未来的攻击。

微软可信签名服务的滥用

近来，犯罪团伙开始利用微软的可信签名服务为其恶意软件签署短期证书。据了解，该平台于2024年推出，是一项基于云的服务，旨在为开发者提供便捷的代码签名功能。微软在服务公告中表示：“可信签名是一项完整的代码签名服务，为开发者和IT专业人员提供直观的体验，并由微软管理的认证机构提供支持。该服务支持公共和私有信任签名场景，并包含时间戳服务。”
该平台提供每月9.99美元的订阅服务，旨在简化开发者对可执行文件的签名流程，同时提供额外的安全性。这种安全性通过使用可轻松撤销的短期证书以及不直接向开发者签发证书来实现，从而防止证书在数据泄露中被盗。微软还声称，通过可信签名服务签发的证书能为可执行文件提供类似SmartScreen的信誉提升。

防范措施与犯罪动机

为了防止滥用，微软目前仅允许经营三年以上的企业以公司名义签发证书。然而，如果个人同意以个人名义签发证书，则更容易获得批准。
网络安全研究员“Squiblydoo”向BleepingComputer表示，犯罪团伙转而使用微软的服务主要是出于便利性考虑。长期以来，使用EV证书一直是标准做法，但微软宣布了对EV证书的变更，而这一变更的细节并不明确，导致犯罪团伙可能认为仅拥有代码签名证书就足以满足其需求。此外，微软证书的验证流程比EV证书简单得多，进一步促使犯罪团伙选择这一途径。

微软的回应

针对这一滥用行为，微软表示正在通过威胁情报监控来发现和撤销被滥用的证书。微软告诉BleepingComputer：“我们使用主动的威胁情报监控不断寻找签名服务的任何误用或滥用行为。当我们检测到威胁时，我们会立即采取行动，例如广泛撤销证书和暂停账户。您分享的恶意软件样本已被我们的反恶意软件产品检测到，我们已经采取措施撤销证书并防止进一步滥用账户。”

来源：https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！