微軟
研究人員發現微軟的信賴簽發(Trusted Signing)服務遭駭客用來簽發惡意程式,以躲避安全偵測。
資安研究團隊MalwareHunterTeam發現一個惡意程式樣本,獲得了Microsoft ID Verified CS EOC CA 01憑證簽發。該憑證效期僅有三天。研究人員相信這是第一個濫用微軟信賴簽發服務的憑證,簽發成功的惡意程式案例。雖然憑證效期很短,但在發行者吊銷憑證之前,使用該憑證簽章的可執行檔仍然有效。
微軟信賴簽發(Trusted Signing)憑證服務每月最低9.99美元,旨在「簡化憑證簽發流程,協助開發人員輕鬆且發布其應用程式」,支援FIPS 140-2 Level 3安全性,且可輕易在Azure介面管理、吊銷憑證。
利用合法憑證簽發是網路攻擊常見手法,可將惡意程式偽裝成合法程式,繞過安全檢查機制。Bleeping Computer分析,這類手法最終極手段是獲得擴充驗證(Extended Validation,EV)憑證,這類憑證驗證過程更嚴格,因此能讓惡意程式獲得更大信任,甚至能以更高信譽(reputation)評分通過微軟SmartScreen的攔截和過濾。然而EV取得難度很高,而且成本高達數千美元,也很容易被發行商吊銷。
微軟信賴簽發服務不只企業能申請,個人也可以申請,門檻低。此外微軟信賴簽發憑證,也能提供類似EV憑證的高信譽分數,使惡意程式不觸發SmartScreen警示。因此,專注追蹤憑證濫用的研究人員Squiblydoo認為,在EV難以取得情況下,駭客於是轉向了微軟信賴簽發服務。
惡意程式濫用微軟簽發服務可能是新興趨勢。因為有其他研究人員發現了類似手法的Crazy Evil Traffer竊密程式及Lumma Stealer,並上傳到VirusTotal平臺上。
微軟對媒體表示,正在調查及追蹤憑證濫用的情形,一旦發現到,將會吊銷這些被濫用的憑證。
