微软
研究人员发现微软的信赖签发(Trusted Signing)服务遭骇客用来签发恶意程式,以躲避安全侦测。
资安厂商MalwareHunter发现一个恶意程式样本,获得了Microsoft ID Verified CS EOC CA 01凭证签发。该凭证效期仅有三天。研究人员相信这是第一个滥用微软信赖签发服务的凭证,签发成功的恶意程式案例。虽然凭证效期很短,但在发行者吊销凭证之前,使用该凭证签章的可执行档仍然有效。
微软信赖签发(Trusted Signing)凭证服务每月最低9.99美元,旨在「简化凭证签发流程,协助开发人员轻松且发布其应用程式」,支援FIPS 140-2 Level 3安全性,且可轻易在Azure介面管理、吊销凭证。
利用合法凭证签发是网路攻击常见手法,可将恶意程式伪装成合法程式,绕过安全检查机制。Bleeping Computer分析,这类手法最终极手段是获得扩充验证(Extended Validation,EV)凭证,这类凭证验证过程更严格,因此能让恶意程式获得更大信任,甚至能以更高信誉(reputation)评分通过微软SmartScreen的拦截和过滤。然而EV取得难度很高,而且成本高达数千美元,也很容易被发行商吊销。
微软信赖签发服务不只企业能申请,个人也可以申请,门槛低。此外微软信赖签发凭证,也能提供类似EV凭证的高信誉分数,使恶意程式不触发SmartScreen警示。因此,专注追踪凭证滥用的研究人员Squiblydoo认为,在EV难以取得情况下,骇客于是转向了微软信赖签发服务。
恶意程式滥用微软签发服务可能是新兴趋势。因为有其他研究人员发现了类似手法的Crazy Evil Traffer窃密程式及Lumma Stealer,并上传到VirusTotal平台上。
微软对媒体表示,正在调查及追踪凭证滥用的情形,一旦发现到,将会吊销这些被滥用的凭证。