マイクロソフトはマルウェア署名サービス(MSaaS)の「Fox Tempest」を解体したと述べています。このサービスはサイバー犯罪者がマルウェアを正当に見せるのを支援していました。
このサービスにより、顧客は悪意のあるファイルをマイクロソフト発行の短期有効な証明書でデジタル署名できるようになり、マルウェアが正当に見え、セキュリティチェックをバイパスする可能性が高くなりました。
Fox Tempestのサービスは顧客向けの署名ワークフローを中心に構築されており、サイバー犯罪者はポータルに悪意のあるバイナリをアップロードし、72時間だけ有効な証明書で署名して、信頼できるソフトウェアソースからのように見えるファイルを受け取ることができました。
マイクロソフトは、このアプローチがマルウェアにセキュリティコントロールを回避し、疑わしい署名なしコードにフラグを立てるはずの防御をバイパスさせたと明示的に述べています。多くのセキュリティツールは、署名されたバイナリを署名されていないものより信頼性が高いと見なします。特に許可リストと発行者の評判に依存する環境ではそうです。Fox Tempestは詐欺的に取得した証明書を使用してマルウェアを正当なソフトウェアとして溶け込ませ、実行と配信成功の可能性を高めることでその仮定を悪用しました。
信頼できそうに見える証明書は、ソーシャルエンジニアリング、有料広告、SEO汚染、または偽のダウンロードページと組み合わせた場合、特にマルウェアが初期スクリーニングを通過するのに役立つことができます。このキャンペーンでは、署名レイヤーは悪意のあるインストーラーがAnyDesk、Teams、PuTTY、Webexなどの製品になりすまし、評判と信頼の周りに構築されたコントロールフレームワークをすり抜けることができるまさにそのような悪用の一種です。
詐欺的な証明書はランサムウェアと情報盗取マルウェアを拡散するために使用されました。これらのマルウェアキャンペーンの影響は広く、複数の国のヘルスケア、教育、政府、金融サービスに影響を与える攻撃がありました。
安全を保つ方法
マイクロソフトの開示は、サイバー犯罪がどのように「マルウェア作成者」を超えて、一つのグループが信頼の生産を専門とし、他のグループがそれを現金化するサービスエコノミーに進化したかを示しています。
ディフェンダーにとって、最も強い教訓はコード署名をスタンドアロンのセキュリティコントロールとして扱わないことです。
消費者の皆様へ:
- 公式ベンダーサイト、Microsoft Store、または既に信頼している別のソースからのみソフトウェアをダウンロードすることを忘れずに。ソーシャルメディア投稿、ダイレクトメッセージ、またはメールで送信されたリンク上のダウンロードボタンを避けてください。
- 人気アプリの「スポンサー」検索結果と広告に懐疑的になってください。
- 署名だけでなく悪意のある動作を探す最新のリアルタイムマルウェア対策ソリューションを使用してください。
