Giới thiệu

Trong thời gian gần đây, Microsoft Trusted Signing Service đã bị lạm dụng để ký mã độc, cho phép tin tặc tạo ra phần mềm độc hại với chữ ký số hợp lệ, giúp nó tránh bị phát hiện bởi các giải pháp bảo mật. Việc này giúp phần mềm độc hại vượt qua các cơ chế bảo mật như Windows Defender SmartScreen và một số phần mềm diệt virus.

Một nhóm tin tặc đã tìm thấy Code-Signing Certificate (chứng chỉ ký mã) là một loại chứng chỉ số dùng để ký điện tử phần mềm và lợi dụng chúng trong kỹ thuật Ký mã độc (Sign Malware). Đây là một kỹ thuật tấn công mà tội phạm mạng sử dụng chứng chỉ số hợp pháp để ký phần mềm độc hại, khiến nó trông giống như một ứng dụng an toàn từ một công ty uy tín. Điều này giúp malware vượt qua các biện pháp bảo mật và đánh lừa người dùng.

Ảnh hưởng chi tiết

1. Ảnh hưởng đến hệ thống và bảo mật

   • Vượt qua các biện pháp bảo vệ
     • Hệ điều hành (Windows, macOS) và phần mềm bảo mật thường tin tưởng vào các chứng chỉ hợp lệ.
     • Code-signing malware có thể lợi dụng lỗ hổng này để chạy mà không bị phát hiện.
   • Lây nhiễm sâu vào hệ thống
     • Một khi được cài đặt, malware có thể ẩn nấp trong hệ thống, thực thi mã độc mà không bị nghi ngờ.
   • Phát tán qua các bản cập nhật giả mạo
     • Hacker có thể xâm nhập vào công ty phần mềm và ký phần mềm độc hại bằng chứng chỉ của công ty đó.
     • Người dùng tải bản cập nhật từ nguồn chính thức mà không biết rằng nó đã bị nhiễm malware.

2. Ảnh hưởng đến tài chính

   • Mất cắp tài sản kỹ thuật số
     • Malware có thể đánh cắp tài khoản ngân hàng, ví tiền điện tử, hoặc thông tin thanh toán.
   • Tổn thất kinh tế cho doanh nghiệp
     • Doanh nghiệp có thể bị tấn công bằng ransomware, buộc phải trả tiền chuộc để lấy lại dữ liệu.
     • Nếu hacker chiếm đoạt hệ thống, họ có thể xóa hoặc làm rò rỉ dữ liệu quan trọng, gây thiệt hại lớn.

Chi tiết chiến dịch

• Theo các nhà phân tích phần mềm độc hại được ghi nhận đã được ký bởi “Microsoft ID Verified CS EOC CA 01” – một chứng chỉ số được sử dụng trong hạ tầng khóa công khai (PKI) của Microsoft và có giá trị trong ba ngày. Mặc dù chứng chỉ hết hạn ba ngày sau khi được cấp, tuy nhiên các tệp thực thi đã ký với nó vẫn sẽ được coi là hợp lệ cho đến khi nhà phát hành thu hồi chứng chỉ.

• Trong chiến dịch lần này nhiều phần mềm độc hại đã được ghi nhận trong đó có 2 phần mềm liên quan tới crypto-theft và Lumma Stealer được sử dụng. Các phần mềm này đều có những đánh giá độc hại và được tin tặc lợi dụng để làm bước đệm cho cuộc tấn công
• Sau khi đã ký malware bằng chứng chỉ hợp lệ, thì những kẻ tấn công sẽ thực hiện tìm cách phát tán những phần mềm độc hại trên chủ yếu thông qua ba cách chính:
  • Qua email phishing, đính kèm file thực thi hoặc link tải về.
  • Thông qua website giả mạo (giả dạng phần mềm hợp pháp).
  • Chèn vào các bản cập nhật phần mềm (nếu hacker xâm nhập vào một công ty phát triển phần mềm).
• Khi đã có thể lây nhiễm các phần mềm độc hại trên thì chúng cũng sẽ dễ dàng bypass qua các cơ chế bảo mật của hệ thống do:
  • Hầu hết các hệ điều hành và phần mềm bảo mật tin tưởng vào chứng chỉ hợp lệ, giúp malware dễ dàng vượt qua kiểm tra.
  • Nếu chữ ký hợp lệ, Windows hoặc macOS sẽ không hiển thị cảnh báo bảo mật khi chạy file.
• Cuối cùng sau khi malware được cài đặt, nó có thể:
  • Đánh cắp dữ liệu: Thu thập thông tin đăng nhập, thông tin tài chính, hoặc dữ liệu nhạy cảm.
  • Tạo backdoor: Mở cửa hậu cho hacker truy cập hệ thống.
  • Lây lan ransomware: Mã hóa dữ liệu và đòi tiền chuộc.
  • Chiếm quyền điều khiển hệ thống: Biến máy tính thành botnet phục vụ các cuộc tấn công DDoS hoặc đào tiền điện tử.

Khuyến nghị

Kiểm tra chữ ký số cẩn thận:

• Không chỉ tin vào chữ ký hợp lệ mà cần kiểm tra tên tổ chức phát hành (xuất hiện khi nhấp chuột phải vào file → Properties → Digital Signatures).
• Nếu thấy chứng chỉ hết hạn hoặc không khớp với nhà phát triển chính thức, không nên cài đặt.

Sử dụng phần mềm bảo mật mạnh:

• Một số phần mềm diệt virus cao cấp có thể phát hiện code-signing malware bằng cách phân tích hành vi.

Hạn chế cài đặt phần mềm từ nguồn không tin cậy:

• Chỉ tải phần mềm từ trang web chính thức hoặc các cửa hàng ứng dụng có kiểm duyệt.

Kiểm tra cập nhật phần mềm trước khi cài đặt:

• Nếu có bất kỳ nghi ngờ nào, hãy kiểm tra trên các diễn đàn bảo mật xem có báo cáo về phần mềm giả mạo không.

Doanh nghiệp nên bảo vệ chứng chỉ số:

• Sử dụng Hardware Security Module (HSM) để lưu trữ chứng chỉ số thay vì lưu trên ổ cứng dễ bị đánh cắp.
• Thiết lập chính sách ký mã nghiêm ngặt, chỉ cho phép một số người có quyền ký phần mềm.

Kết luận

Code-signing malware rất nguy hiểm vì nó lợi dụng niềm tin vào chứng chỉ số để phát tán mã độc. Do đó, cả cá nhân và doanh nghiệp cần cảnh giác khi cài đặt phần mềm, kiểm tra chữ ký số, và bảo vệ chứng chỉ số một cách nghiêm ngặt.

Người dùng không nên tin tưởng tuyệt đối vào các tệp đã ký mà cần kiểm tra nguồn gốc phần mềm trước khi cài đặt. Microsoft đang cải thiện hệ thống, nhưng các tổ chức vẫn cần chủ động bảo vệ mình bằng các giải pháp bảo mật nâng cao.

IOC

1. Md5 hash
   • 30414f6190c23fe2b8cfe99e268779a1
   • d3ae01744f2459e0ad51938fecf597e0

Tham khảo

1. Microsoft Trusted Signing service abused to code-sign malware
2. Trusted Signing—Managed Signing Services | Microsoft Azure