駭客濫用微軟簽章服務　偽裝惡意程式繞過檢測

駭客濫用微軟信賴簽章服務的短期憑證，偽裝惡意程式繞過安全檢測，微軟已註銷遭濫用憑證以降低風險。

網路駭客利用微軟信賴簽章 (Trusted Signing) 平台產生三天期的憑證來驗證惡意程式。

利用合法憑證來簽發程式，可以讓惡意程式偽裝成合法程式，使其得以繞過安全過濾機制，後者可以防堵未簽發的執行檔或至少觸發其掃瞄檢查。

最近名為 Squiblydoo 的研究人員，發現駭客利用微軟信賴簽發 (Microsfot Signing) 服務的三天期短期簽發憑證，來簽發惡意程式。研究人員看到一個以「Microsoft ID Verified CS EOC CA 01」憑證簽發，效期只有 3 天。但是即使憑證過期，已簽發的執行檔還是會被認為合法，直到微軟註銷了這個憑證為止。

微軟是在 2024 年推出雲端信賴簽章服務，讓開發人員的執行檔可輕易獲得微軟具時戳的簽發，支援公開及私有信賴簽發。這項服務也不貴，每月 9.99 美元，還提供其他安全性，像是可在被濫用時註銷的短天期憑證，或是拒絕發給開發人員憑證，以免在資料外洩時被偷。而且這些憑證讓程式得以提高在微軟 SmartScreen 的信譽，減少被檢查到的機率。

長年追蹤憑證濫用的 Squiblydoo 表示駭客轉向微軟憑證，是基於該憑證的方便。

取得延伸驗證 (Extended Validation, EV) 簽發憑證，可以讓惡意程式通過更嚴格的安全驗證流程。EV 憑證也能在微軟 SmartScreen 中提升其信譽 (reputation)，而能避免微軟 Office 產品一般會顯示的安全警告。但是 EV 憑證比較難取得，駭客要成立空殼公司，還要花數千美元。相形之下，濫用微軟憑證就容易得多，而且「效果」也不錯。

其他研究人員也發現了 Crazy Evil Traffer 竊密程式及 Lumma Stealer 二個惡意程式，也是用了類似手法。

微軟得知此事後，已使用威脅情報偵測找到被濫用的憑證，並且註銷了這些憑證。

來源：Bleeping Computer