微软

研究人员发现微软的信赖签发（Trusted Signing）服务遭骇客用来签发恶意程序，以躲避安全侦测。

资安研究团队MalwareHunterTeam发现一个恶意程序样本，获得了Microsoft ID Verified CS EOC CA 01凭证签发。该凭证效期仅有三天。研究人员相信这是第一个滥用微软信赖签发服务的凭证，签发成功的恶意程序案例。虽然凭证效期很短，但在发行者吊销凭证之前，使用该凭证签章的可执行档仍然有效。

微软信赖签发（Trusted Signing）凭证服务每月最低9.99美元，旨在「简化凭证签发流程，协助开发人员轻鬆且发布其应用程序」，支援FIPS 140-2 Level 3安全性，且可轻易在Azure介面管理、吊销凭证。

利用合法凭证签发是网路攻击常见手法，可将恶意程序伪装成合法程序，绕过安全检查机制。Bleeping Computer分析，这类手法最终极手段是获得扩充验证（Extended Validation，EV）凭证，这类凭证验证过程更严格，因此能让恶意程序获得更大信任，甚至能以更高信誉（reputation）评分通过微软SmartScreen的拦截和过滤。然而EV取得难度很高，而且成本高达数千美元，也很容易被发行商吊销。

微软信赖签发服务不只企业能申请，个人也可以申请，门槛低。此外微软信赖签发凭证，也能提供类似EV凭证的高信誉分数，使恶意程序不触发SmartScreen警示。因此，专注追蹤凭证滥用的研究人员Squiblydoo认为，在EV难以取得情况下，骇客于是转向了微软信赖签发服务。

恶意程序滥用微软签发服务可能是新兴趋势。因为有其他研究人员发现了类似手法的Crazy Evil Traffer窃密程序及Lumma Stealer，并上传到VirusTotal平台上。

微软对媒体表示，正在调查及追蹤凭证滥用的情形，一旦发现到，将会吊销这些被滥用的凭证。