Yazılım & İşletim SistemiOrta

Microsoft Artifact Signing Hizmetinin Kötüye Kullanımı ve MSaaS Operasyonlarının Engellenmesi

Microsoft'un Artifact Signing hizmetini istismar eden zararlı yazılım imzalama servisinin (MSaaS) teknik analizi ve bu tehdide karşı alınabilecek güvenlik önlemleri.

B
Bleeping Computer Tutorials
5 görüntülenme
Microsoft Artifact Signing Hizmetinin Kötüye Kullanımı ve MSaaS Operasyonlarının Engellenmesi

Genel Bakış

Microsoft, Artifact Signing hizmetini istismar ederek fidye yazılımı çetelerine ve siber suçlulara meşru kod imzalama sertifikaları sağlayan bir 'Malware-Signing-as-a-Service' (MSaaS) operasyonunu başarıyla engellediğini duyurdu. Bu olay, saldırganların meşru yazılım geliştirme araçlarını kullanarak zararlı yazılımlarını 'güvenilir' olarak işaretlemeye çalıştıklarını göstermektedir.

Tehdit Analizi

Saldırganlar, Microsoft'un geliştiricilere sunduğu kod imzalama altyapısını kullanarak, kötü niyetli dosyaların işletim sistemi tarafından doğrulanmasını sağlamıştır. Bu durum, antivirüs ve EDR çözümlerinin zararlı yazılımları tespit etmesini zorlaştırmaktadır.

Güvenlik İyileştirme ve Tespit Adımları

Kurumsal ağlarınızda bu tür bir istismarı tespit etmek ve engellemek için aşağıdaki adımları izleyin:

  1. Sertifika İncelemesi: İmzasız veya şüpheli yayıncılar tarafından imzalanmış dosyaları denetlemek için PowerShell kullanın.
  2. EDR/XDR Kuralları: 'Microsoft Artifact Signing' hizmeti ile etkileşime giren şüpheli süreçleri izlemek için özel uyarı kuralları oluşturun.
  3. Uygulama Kontrolü: Sadece onaylı yayıncıların (Trusted Publishers) çalışmasına izin veren AppLocker veya Windows Defender Application Control (WDAC) politikalarını uygulayın.

İnceleme Komutları

Sisteminizdeki imzalı dosyaları doğrulamak için aşağıdaki PowerShell komutunu kullanabilirsiniz:

Get-ChildItem -Path C:\Windows\System32 -Filter *.exe | Get-AuthenticodeSignature | Where-Object {$_.Status -ne 'Valid'}
İpucu: Sadece sertifika imzasının geçerli olması, dosyanın güvenli olduğu anlamına gelmez. Dosya itibar analizi (File Reputation) için mutlaka VirusTotal veya benzeri bir sandbox servisi kullanın.

Sonuç ve Önleyici Faaliyetler

Siber suçluların meşru platformları istismar etmesi, güvenlik stratejilerinde 'Sıfır Güven' (Zero Trust) modelinin önemini artırmaktadır. Sadece sertifikaya güvenmek yerine, davranışsal analiz ve uç nokta izleme çözümlerine odaklanmak kritik öneme sahiptir.

Kurumunuzdaki tüm yazılım geliştirme süreçlerini gözden geçirin ve dışarıdan alınan her türlü ikili dosyanın (binary) imza doğrulamasını sıkılaştırın.

İlgili Makaleler