許多初入行的工程師在學習安全性時,常被告知要檢查軟體的數位簽名。簡單來說,數位簽名就像是軟體的身分證,用來證明這份程式碼確實是由聲稱的開發者發布,且在傳輸出的過程中沒有被第三方竄改。然而,如果攻擊者能拿到一張合法的身分證,所有的安全檢查都會失效。最近 Microsoft 採取行動瓦解了一個名為 Fox Tempest 的組織,該組織將數位簽名變成了一種商業服務,讓全球的駭客能以金錢換取信任。
數位簽名的信任危機與 MSaaS
在正常的開發流程中,開發者會使用像 Microsoft Artifact Signing 這樣的服務。這是一種完全託管的端到端簽名方案,目的是讓開發者能輕鬆分發應用程式,同時確保軟體合法且未被修改。
然而,Fox Tempest 發現了這個機制中的漏洞,建立了一種被稱為 MSaaS(Malware-Signing-as-a-Service,惡意程式簽名即服務)的商業模式。他們並不直接發動攻擊,而是扮演供應商的角色,讓其他犯罪分子支付 5,000 到 9,000 美元,將惡意程式上傳到他們的平台,由 Fox Tempest 使用非法取得的憑證幫其簽名。
為什麼這件事非常危險?因為當惡意程式被簽名後,它在作業系統或安全軟體眼中就變成了合法軟體。攻擊者甚至能將勒索軟體偽裝成 AnyDesk、Microsoft Teams 或 Cisco Webex 等知名工具,輕易繞過企業的安全防護牆。
Fox Tempest 的操作手法
要獲得合法的簽名憑證,通常需要經過嚴格的身分驗證(Identity Validation),符合業界標準的可驗證憑證(Verifiable Credentials, VC)。為了繞過這一關,Fox Tempest 很可能使用了盜用自美國和加拿大的身分資料來偽裝成合法實體,成功騙過驗證機制。
他們最初建立了一個名為 signspace.cloud 的網站,提供管理後台讓客戶上傳檔案並獲取簽名。為了提高效率並降低被偵測的風險,他們在 2026 年初將基礎設施升級,改為提供預先配置好的虛擬機器(VM)。這樣客戶可以直接在攻擊者控制的環境中操作,大幅減少了傳輸過程中的摩擦,並提升了整個犯罪鏈的隱蔽性。
從簽名到勒索的攻擊路徑
這類服務直接推高了勒索軟體攻擊的成功率。以 Vanilla Tempest 這個攻擊組織為例,他們的攻擊路徑如下:首先購買合法的廣告,將搜尋 Microsoft Teams 的使用者導向偽造的下載頁面;接著讓使用者下載經過 Fox Tempest 簽名的惡意二進位檔案;最後部署名為 Oyster 的載入器,進而安裝 Rhysida 勒索軟體。
這種模式讓多種惡意軟體(如 Lumma Stealer, Vidar)以及知名勒索軟體家族(如 Qilin, BlackByte, Akira)受益,影響範圍涵蓋美國、法國、印度與中國的醫療、教育、政府及金融機構。
Microsoft 的反制行動 OpFauxSign
針對這起事件,Microsoft 啟動了代號為 OpFauxSign 的行動。他們不僅沒收了 Fox Tempest 的網站,還將數百台運行該服務的虛擬機器強制下線,並封鎖了存放底層程式碼的網站。
在這次行動中,Microsoft 採取了主動偵查策略,透過合作來源在 2026 年初實際購買並測試該服務,以完整掌握對方的運作邏輯。雖然 Fox Tempest 曾嘗試透過停用帳號或撤銷憑證後迅速轉移到其他簽名服務來應對,但這次的大規模瓦解行動顯著提高了網路犯罪的成本。
給工程師的啟示
這次事件提醒我們,數位簽名雖然重要,但它並非絕對的安全指標。簽名只能證明這個檔案是由持有該私鑰的人簽署的,但不能證明該持有者本身是否善良。在實務上,我們不能僅依賴簽名來信任軟體,仍需結合行為分析、沙箱測試以及嚴格的來源管理,才能在面對這類高階偽裝攻擊時保持韌性。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。