-
09/04/2020
-
94
-
723 bài viết
Microsoft Trusted Signing bị lợi dụng để phát tán phần mềm độc hại
Dịch vụ Trusted Signing của Microsoft, ra mắt vào năm 2024, là một nền tảng ký mã dựa trên đám mây, cho phép các nhà phát triển dễ dàng ký số cho phần mềm của họ mà không cần trực tiếp sở hữu chứng chỉ số.
Tuy nhiên, các nhóm tội phạm mạng đang lợi dụng dịch vụ này để ký số phần mềm độc hại bằng các chứng chỉ có thời hạn ngắn chỉ trong 03 ngày. Những chứng chỉ này được cấp bởi "Microsoft ID Verified CS EOC CA 01" và dù tự động hết hạn sau 03 ngày, nhưng các tệp thực thi đã được ký vẫn được hệ thống nhận diện là hợp lệ cho đến khi chứng chỉ bị thu hồi.
Lý do tội phạm mạng nhắm đến dịch vụ Trusted Signing
Từ lâu, các nhóm tấn công mạng đã tìm cách sở hữu chứng chỉ ký mã vì chúng giúp phần mềm độc hại trông giống như phần mềm hợp pháp. Khi được ký bởi một tổ chức đáng tin cậy, phần mềm độc hại có thể bypass (vượt qua) các bộ lọc bảo mật, vốn thường chặn hoặc giám sát chặt chẽ các tệp thực thi chưa được ký.
Trước đây, mục tiêu hàng đầu của tin tặc là các chứng chỉ ký mã Extended Validation (EV). Những chứng chỉ này được nhiều chương trình bảo mật tin tưởng hơn do quy trình xác minh nghiêm ngặt. Tuy nhiên, chứng chỉ EV rất khó có được bởi vì các yêu cầu:
Ngược lại, Microsoft Trusted Signing dễ dàng đăng ký hơn, không yêu cầu quy trình xác minh phức tạp như EV certificate, nhưng vẫn giúp phần mềm đạt được mức độ tin cậy tương tự trên SmartScreen. Điều này khiến dịch vụ này trở thành lựa chọn hấp dẫn đối với các nhóm tấn công mạng.
Trusted Signing bị lợi dụng trong các chiến dịch tấn công
Nhiều chiến dịch phần mềm độc hại đã khai thác Trusted Signing để phát tán mã độc, bao gồm:
Microsoft khẳng định họ đang tích cực giám sát các mối đe dọa liên quan đến dịch vụ Trusted Signing và sẽ thu hồi chứng chỉ ngay khi phát hiện lạm dụng. Công ty cho biết họ sử dụng hệ thống tình báo mối đe dọa để tự động phát hiện và vô hiệu hóa các tài khoản vi phạm.
Để giảm thiểu rủi ro, các chuyên gia bảo mật khuyến nghị:
Không chỉ dựa hoàn toàn vào chữ ký số để đánh giá độ tin cậy của phần mềm.
Kết hợp nhiều lớp bảo mật, bao gồm phần mềm chống malware, hệ thống giám sát hành vi và phân tích sandbox.
Tăng cường nhận diện và ngăn chặn tệp thực thi đáng ngờ, ngay cả khi chúng được ký bằng chứng chỉ hợp lệ.
Tuy nhiên, các nhóm tội phạm mạng đang lợi dụng dịch vụ này để ký số phần mềm độc hại bằng các chứng chỉ có thời hạn ngắn chỉ trong 03 ngày. Những chứng chỉ này được cấp bởi "Microsoft ID Verified CS EOC CA 01" và dù tự động hết hạn sau 03 ngày, nhưng các tệp thực thi đã được ký vẫn được hệ thống nhận diện là hợp lệ cho đến khi chứng chỉ bị thu hồi.
Lý do tội phạm mạng nhắm đến dịch vụ Trusted Signing
Từ lâu, các nhóm tấn công mạng đã tìm cách sở hữu chứng chỉ ký mã vì chúng giúp phần mềm độc hại trông giống như phần mềm hợp pháp. Khi được ký bởi một tổ chức đáng tin cậy, phần mềm độc hại có thể bypass (vượt qua) các bộ lọc bảo mật, vốn thường chặn hoặc giám sát chặt chẽ các tệp thực thi chưa được ký.
Trước đây, mục tiêu hàng đầu của tin tặc là các chứng chỉ ký mã Extended Validation (EV). Những chứng chỉ này được nhiều chương trình bảo mật tin tưởng hơn do quy trình xác minh nghiêm ngặt. Tuy nhiên, chứng chỉ EV rất khó có được bởi vì các yêu cầu:
- Mua hợp pháp: Tin tặc phải thành lập doanh nghiệp giả và chi hàng nghìn đô la để mua chứng chỉ.
- Đánh cắp: Lấy chứng chỉ từ các công ty hợp pháp, thường thông qua các cuộc tấn công mạng.
Ngược lại, Microsoft Trusted Signing dễ dàng đăng ký hơn, không yêu cầu quy trình xác minh phức tạp như EV certificate, nhưng vẫn giúp phần mềm đạt được mức độ tin cậy tương tự trên SmartScreen. Điều này khiến dịch vụ này trở thành lựa chọn hấp dẫn đối với các nhóm tấn công mạng.
Trusted Signing bị lợi dụng trong các chiến dịch tấn công
Nhiều chiến dịch phần mềm độc hại đã khai thác Trusted Signing để phát tán mã độc, bao gồm:
- Crazy Evil Traffers – một chiến dịch tấn công đánh cắp tiền điện tử.
- Lumma Stealer – một loại phần mềm độc hại chuyên đánh cắp thông tin người dùng.
Microsoft khẳng định họ đang tích cực giám sát các mối đe dọa liên quan đến dịch vụ Trusted Signing và sẽ thu hồi chứng chỉ ngay khi phát hiện lạm dụng. Công ty cho biết họ sử dụng hệ thống tình báo mối đe dọa để tự động phát hiện và vô hiệu hóa các tài khoản vi phạm.
Để giảm thiểu rủi ro, các chuyên gia bảo mật khuyến nghị:
Không chỉ dựa hoàn toàn vào chữ ký số để đánh giá độ tin cậy của phần mềm. Kết hợp nhiều lớp bảo mật, bao gồm phần mềm chống malware, hệ thống giám sát hành vi và phân tích sandbox. Tăng cường nhận diện và ngăn chặn tệp thực thi đáng ngờ, ngay cả khi chúng được ký bằng chứng chỉ hợp lệ.Theo Bleeping Computer