Siber suçlular, Microsoft’un güvenilir imza platformunu, kısa ömürlü üç günlük sertifikalara sahip kötü amaçlı yazılım yürütülebilir dosyalarını kodlamaya yönelik olarak kötüye kullanıyor.
Tehdit aktörleri, meşru bir şirketten olduğu gibi görünmek için kötü amaçlı yazılımları imzalamak için kullanılabilecekleri için kod imzalama sertifikalarını uzun zamandır aradılar.
İmzalı kötü amaçlı yazılım, normalde imzasız yürütülebilir ürünleri engelleyecek veya en azından daha az şüphe ile tedavi edecek güvenlik filtrelerini atlama avantajına sahiptir.
Tehdit aktörleri için Kutsal Kâse, daha titiz doğrulama süreci nedeniyle birçok siber güvenlik programından otomatik olarak daha fazla güven kazandıkları için genişletilmiş doğrulama (EV) kod imzalama sertifikaları elde etmektir. Daha da önemlisi, EV sertifikalarının akıllı ekranda bir itibar artışı elde ettiğine ve normalde bilinmeyen dosyalar için görüntülenecek uyarıları atlamaya yardımcı olduğuna inanılıyor.
Bununla birlikte, EV kodlama sertifikalarının elde edilmesi zor olabilir, bu da diğer şirketlerden çalınmasını veya tehdit aktörlerinin sahte işletmeler kurmaları ve bir tane satın almak için binlerce dolar harcamalarını gerektirebilir. Ayrıca, sertifika bir kötü amaçlı yazılım kampanyasında kullanıldıktan sonra, genellikle iptal edilir ve gelecekteki saldırılar için kullanılamaz hale getirilir.
Microsoft güvenilir imzalama hizmetini kötüye kullanma
Son zamanlarda, siber güvenlik araştırmacıları, kötü amaçlı yazılımlarını kısa ömürlü, üç günlük kod imzalama sertifikalarıyla imzalamak için Microsoft güvenilir imza hizmetini kullanan tehdit aktörlerini gördüler.
Bu kötü amaçlı yazılım örnekleri “Microsoft Kimliği Doğrulanmış CS EOC CA 01” tarafından imzalanır ve sertifika yalnızca üç gün boyunca geçerlidir. Sertifika, yayınlandıktan üç gün sonra sona ererken, İhraç Eden Sertifikayı iptal edene kadar geçerli kabul edilebilirlerin hala geçerli kabul edileceğini belirtmek önemlidir.
O zamandan beri diğer araştırmacılar ve BleepingComputer, Crazy Evil Falkings Crypto-Theft kampanyasında kullanılanlar da dahil olmak üzere, devam eden kötü amaçlı yazılım kampanyalarında kullanılan çok sayıda başka örnek buldular. [VirusTotal] ve Lumma Stealer [VirusTotal] kampanyalar.
Kaynak: BleepingComputer
Microsoft güvenilir imza hizmeti 2024’te başlatıldı ve geliştiricilerin programlarının Microsoft tarafından kolayca imzalanmasını sağlayan bulut tabanlı bir hizmettir.
Hizmet için bir Microsoft duyurusu, “Güvenilir imza, Microsoft Yönetilen Sertifika Otoritesi tarafından desteklenen geliştiriciler ve BT uzmanları için sezgisel bir deneyime sahip eksiksiz bir kod imzalama hizmetidir.”
“Hizmet hem kamu hem de özel güven imzalama senaryolarını destekler ve bir zaman damgası hizmeti içerir.”
Platform, geliştiricilerin yürütülebilir dosyalarını imzalamasını kolaylaştırmak için tasarlanmış ve aynı zamanda ek güvenlik sunan 9,99 $ ‘lık aylık abonelik hizmetine sahiptir.
Bu artan güvenlik, istismar durumunda kolayca iptal edilebilen kısa ömürlü sertifikalar kullanılarak ve sertifikaları asla doğrudan geliştiricilere vererek, ihlal durumunda çalınmasını engelleyerek gerçekleştirilir.
Microsoft ayrıca, güvenilir imza hizmeti aracılığıyla verilen sertifikaların, hizmeti tarafından imzalanan yürütülebilir ürünlere benzer bir akıllı ekran itibarı artışı sağladığını söylüyor.
Güvenilir imza sitesinde bir SSS, “Güvenilir bir imza imzası, akıllı ekranda temel itibar, pencerelerde kullanıcı modu güveni ve bütünlük kontrol imzası doğrulama doğrulama uyumlu olarak uygulamanızın güvenilmesini sağlar.”
Kötüye kullanıma karşı korunmak için Microsoft şu anda yalnızca üç yıldır faaliyet gösteriyorlarsa sertifikaların bir şirket adı altında verilmesine izin veriyor.
Bununla birlikte, bireyler, isimleri altında verilen sertifikalarla iyi olurlarsa daha kolay kaydolabilir ve onaylanabilir.
Daha basit bir yol
Yıllardır sertifikaları kötüye kullanan kötü amaçlı yazılım kampanyalarını izleyen ‘SquallyDoo’ olarak bilinen bir siber güvenlik araştırmacısı ve geliştiricisi, BleepingComputer’a tehdit aktörlerinin Microsoft’un hizmetine rahatlık dışında geçtiğine inandıklarını söyledi.
“Bence değişimin birkaç nedeni var. Uzun zamandır EV sertifikalarını kullanmak standart oldu, ancak Microsoft EV sertifikalarında değişiklikler duyurdu.”
“Bununla birlikte, EV sertifikalarındaki değişiklikler gerçekten kimseye açık değil: sertifika sağlayıcıları değil, saldırganlar değil. Ancak, bu potansiyel değişiklikler ve netlik eksikliği nedeniyle, sadece bir kod imzalama sertifikasına sahip olmak saldırgan ihtiyaçları için yeterli olabilir.”
“Bu bağlamda, Microsoft’un sertifikaları için doğrulama süreci EV sertifikaları için doğrulama sürecinden önemli ölçüde daha kolaydır: EV sertifikalarına göre belirsizlik nedeniyle, Microsoft sertifikalarını kullanmak mantıklıdır.”
BleepingComputer, kötüye kullanım hakkında Microsoft ile temasa geçti ve şirketin sertifikaları buldukları gibi bulmak ve iptal etmek için tehdit istihbarat izlemesini kullandığı söylendi.
Microsoft, BleepingComputer’a verdiği demeçte, “İmzalama hizmetimizin herhangi bir kötüye kullanımını veya kötüye kullanılmasını sürekli olarak aramak için aktif tehdit istihbarat izlemesini kullanıyoruz.” Dedi.
“Tehditleri tespit ettiğimizde, geniş sertifika iptali ve hesap askıya alma gibi eylemlerle hemen hafifletiyoruz. Paylaştığınız kötü amaçlı yazılım örnekleri antimal yazılım ürünlerimiz tarafından tespit ediliyor ve sertifikaları iptal etmek ve daha fazla hesap istismarını önlemek için zaten harekete geçtik.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.