吳明宜網路駭客利用微軟信賴簽章 (Trusted Signing) 平台產生三天期的憑證來驗證惡意程式。
利用合法憑證來簽發程式,可以讓惡意程式偽裝成合法程式,使其得以繞過安全過濾機制,後者可以防堵未簽發的執行檔或至少觸發其掃瞄檢查。
最近名為 Squiblydoo 的研究人員,發現駭客利用微軟信賴簽發 (Microsfot Signing) 服務的三天期短期簽發憑證,來簽發惡意程式。研究人員看到一個以「Microsoft ID Verified CS EOC CA 01」憑證簽發,效期只有 3 天。但是即使憑證過期,已簽發的執行檔還是會被認為合法,直到微軟註銷了這個憑證為止。
微軟是在 2024 年推出雲端信賴簽章服務,讓開發人員的執行檔可輕易獲得微軟具時戳的簽發,支援公開及私有信賴簽發。這項服務也不貴,每月 9.99 美元,還提供其他安全性,像是可在被濫用時註銷的短天期憑證,或是拒絕發給開發人員憑證,以免在資料外洩時被偷。而且這些憑證讓程式得以提高在微軟 SmartScreen 的信譽,減少被檢查到的機率。
長年追蹤憑證濫用的 Squiblydoo 表示駭客轉向微軟憑證,是基於該憑證的方便。
取得延伸驗證 (Extended Validation, EV) 簽發憑證,可以讓惡意程式通過更嚴格的安全驗證流程。 EV 憑證也能在微軟 SmartScreen 中提升其信譽 (reputation),而能避免微軟 Office 產品一般會顯示的安全警告。但是 EV 憑證比較難取得,駭客要成立空殼公司,還要花數千美元。相形之下,濫用微軟憑證就容易得多,而且「效果」也不錯。
其他研究人員也發現了 Crazy Evil Traffer 竊密程式及 Lumma Stealer 二個惡意程式,也是用了類似手法。
微軟得知此事後,已使用威脅情報偵測找到被濫用的憑證,並且註銷了這些憑證。