網絡犯罪分子正在濫用微軟可信簽名平臺，通過有效期僅三天的短期證書為惡意軟件可執行程序進行代碼簽名。

長期以來，威脅行為者一直覬覦代碼簽名證書，因為這類證書可用于為惡意軟件披上合法企業的外衣。

惡意軟件簽名的優勢與挑戰

經過簽名的惡意程序不僅能繞過通常會攔截未簽名可執行文件的安全過濾機制，還能降低系統對其的警惕性。 威脅行為者的終極目標是獲取擴展驗證（EV）代碼簽名證書，因為這些證書由于更嚴格的驗證流程，會自動獲得許多網絡安全程序的更高信任度。更重要的是，EV證書被認為可以在SmartScreen中獲得聲譽提升，從而幫助繞過通常為未知文件顯示的警報。

然而，EV代碼簽名證書難以獲取，通常需要從其他公司竊取，或者威脅行為者需要設立虛假企業并花費數千美元購買一個。此外，一旦證書被用于惡意軟件活動，通常會被吊銷，使其無法用于未來的攻擊。

濫用微軟可信簽名服務

最近，網絡安全研究人員發現威脅行為者利用微軟可信簽名服務為其惡意軟件簽署有效期僅為三天的代碼簽名證書。這些惡意軟件樣本由“Microsoft ID Verified CS EOC CA 01”簽名，證書有效期僅為三天。雖然證書在簽發三天后過期，但需要注意的是，使用該證書簽名的可執行文件在被吊銷之前仍被視為有效。

此后，其他研究人員和BleepingComputer發現了許多用于正在進行的惡意軟件活動的樣本，包括用于Crazy Evil Traffers加密貨幣盜竊活動[VirusTotal]和Lumma Stealer[VirusTotal]活動的樣本。

Crazy Evil traffers活動中的簽名DLL來源：BleepingComputer

微軟可信簽名服務于2024年推出，是一項基于云的服務，允許開發者輕松地為其程序獲得微軟的簽名。微軟在服務公告中表示：“可信簽名是一項完整的代碼簽名服務，為開發者和IT專業人員提供直觀的體驗，由微軟管理的認證機構支持。該服務支持公共和私有信任簽名場景，并包括時間戳服務。”

該平臺提供每月9.99美元的訂閱服務，旨在讓開發者輕松簽署其可執行文件，同時提供額外的安全性。這種增強的安全性通過使用短期證書實現，這些證書在濫用情況下可以輕松吊銷，并且從不直接向開發者頒發證書，防止其在發生泄露時被盜。

微軟還表示，通過可信簽名服務頒發的證書為其服務簽名的可執行文件提供了類似的SmartScreen聲譽提升。可信簽名網站上的FAQ寫道：“可信簽名通過提供SmartScreen的基本聲譽、Windows上的用戶模式信任以及完整性檢查簽名驗證合規性，確保您的應用程序受到信任。”

為了防止濫用，微軟目前只允許在已運營三年的公司名下頒發證書。然而，如果個人同意證書以其名義頒發，則可以更容易地注冊并獲得批準。

更簡便的路徑

一位名為“Squiblydoo”的網絡安全研究員和開發者多年來一直在追蹤濫用證書的惡意軟件活動，他告訴BleepingComputer，他認為威脅行為者出于便利性正在轉向微軟的服務。

“我認為這種轉變有幾個原因。長期以來，使用EV證書一直是標準，但微軟已經宣布了對EV證書的更改，”Squiblydoo告訴BleepingComputer。“然而，EV證書的更改對任何人來說都不清楚：無論是證書提供商還是攻擊者。由于這些潛在的變化和缺乏明確性，僅僅擁有一個代碼簽名證書可能就足以滿足攻擊者的需求。”

“在這方面，微軟證書的驗證過程比EV證書的驗證過程要簡單得多：由于EV證書的模糊性，使用微軟證書是有意義的。”

BleepingComputer就濫用問題聯系了微軟，微軟表示公司使用威脅情報監控來發現并吊銷證書。“我們使用主動威脅情報監控來不斷尋找任何對我們簽名服務的誤用或濫用，”微軟告訴BleepingComputer。“當我們檢測到威脅時，我們會立即采取行動，如廣泛吊銷證書和暫停賬戶。您分享的惡意軟件樣本已被我們的反惡意軟件產品檢測到，我們已經采取行動吊銷證書并防止進一步的賬戶濫用。”