В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest. Эта группировка предоставляла другим злоумышленникам услуги по подписыванию вредоносных файлов поддельными доверенными сертификатами (Malware-Signing-as-a-Service, MSaaS), что позволяло обходить системы безопасности. Как подчёркивает руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин, полагаться исключительно на проверку цифровой подписи при защите инфраструктуры недостаточно: решающую роль играет поведенческий анализ, который выявляет вредоносную активность даже у программ с валидным сертификатом.

Злоумышленники успели создать более 1 тыс. сертификатов, которые использовались для распространения вымогательского ПО и стилеров, а также атак на организации в сфере здравоохранения, образования, финансов и госучреждения по всему миру.

«Один из действенных способов детектирования вредоносных исполняемых файлов — это проверка подписи. Работает это довольно просто — производитель подписывает файл ключом, выданным доверенным удостоверяющим центром, а операционная система проверяет эту подпись перед запуском приложения. Как только в приложении будет изменен хотя бы один бит — приложение уже не запустится. Однако есть техники, позволяющие обходить это ограничение на какое-то время. Более того, подписывание вредоносного кода продаётся как услуга и имеет бешеный спрос на рынке киберпреступлений. Поэтому компании вроде Microsoft и озадачены выявлением и ликвидацией таких сервисов», — отметил руководитель группы защиты инфраструктурных ИТ-решений.

Злоумышленники использовали механизмы легитимной инфраструктуры компании. Группа Fox Tempest эксплуатировала легитимный облачный сервис Microsoft Artifact Signing, с помощью которого любой разработчик может законно подписывать свой код, подтверждая его подлинность и неизменность.

Как отметил эксперт компании «Газинформсервис», проблема подобных сервисов осложняется тем, что они напрямую никого не атакуют, а лишь предоставляют дополнительные возможности для проведения незаконных операций другим злоумышленникам. Однако, по его словам, одного подхода, основанного на проверке подписей, недостаточно для выявления вредоносного кода.

«Однако проверка подписи — не единственный способ выявления вредоносного кода. Если ваша инфраструктура подключена к SOC, такому как GSOC, в вашем распоряжении есть решения поведенческой аналитики, которые будут внимательно следить за программами, даже имеющими валидную подпись», — отметил Сергей Полунин.