【本記事は機械翻訳です】
流出した社内チャットログから明らかになった協調戦略 Black Basta 関連会社がEV(Extended Validation)証明書を使用して悪意のあるファイルに署名していることが明らかになりました。この手口は、一般的にEV署名されたアプリケーションに関連する強化された信頼を活用するものです。シグネチャベースの信頼だけに依存している組織は、これらの認証バイナリが従来のスキャンメカニズムを簡単にすり抜けるため、脆弱な状態に陥ります。この対談では、攻撃者がmalware署名することで検出を回避するプロセスをどのように取得、管理、自動化しているかが詳細に説明され、ランサムウェア・グループの活動の背後にある組織的規律の程度が浮き彫りにされています。
EV証明書とは何か?
EV(Extended Validation)証明書は、アプリケーションやウェブサイトに対する高い信頼性を示す特別なデジタル証明書です。証明書を発行する認証局(CA)は、証明書を要求する企業や個人に対して特別なチェックを行い、彼らが本当に本人であることを確認します。実際には、ユーザーや多くのセキュリティ・ソリューションは、EV署名されたソフトウェアをより信頼しています。 なぜなら、公的機関によって「検証」されているからです。.

閉鎖的な企業になりすますことが知られている脅威行為者もいるが、Black Basta 同様であることがログから確認されている:
1.直接購入したEV証書
BlackBastaはアンダーグラウンドのフォーラムやブローカーから4,000ドルから4,500ドルでEV証明書を購入した。
"по $4000 каждый"(各4000ドル)
"таких・у・нас・еще・не・было" ("こんなの初めてだよ")
"сейчас возьму пару штук про запас"(「念のため、もう2、3個持ってきます」)。
"скидосссссс))"("割引を受けたハハ")。
これらのメッセージは通常、EV証明書を含む.rarファイルと対になっており、多くの場合、会社名でラベル付けされていました(例:EV56wallfort[SSL.com].rar、EV4Avikser-llc2023-10-27[GlobalSign].rar)。
また、https://send[.]exploit[.]in/download/... https://transfer[.]sh/... のようなホスティング・プラットフォームにもリンクしていた。これらは、実際に盗まれた/不正に入手された証明書パッケージをホストしていました。
2.侵害されたリモート署名基盤
このグループは、VirtualHereとYubiKey Minidriverツールを使って、物理的に接続されたEVトークンにリモートアクセスした。
**Token17が必要です。ダブルクリックで接続してください。パスワードを入力してください:******.トークンPINは123456です" "certmgr.mscを実行し、証明書が追加されたかどうかを確認します" "signtool.exeでファイルに署名します"

重要なチャットで、あるユーザーがこう言った:
「そのRDPはブラックリストに登録されています。"そのRDPから移動します - ブラックリストに載っています"
これは、以前に機密性の高い署名インフラ(おそらくEVトークン)を収容していたRDPサーバーを指し、ブラックリストに登録された。これらのトークンは通常ハードウェア(例えばYubiKeys)に保存されているが、他のメッセージで詳述されているように、VirtualHereやsigntool.exeのようなツールを介してリモートからアクセスされ、使用されていた。これは、EV証明書が匿名で購入されたのではなく、実在の企業や開発者から盗まれたものであり、おそらくRDPの侵害を通じて盗まれたものであることを示唆している。
流出したBlack Basta 会話は、malware 署名に悪用された特定の2つのEV認証局(発行者)を特定している: SSL.comと グローバルサイン.
Black BastaEV運用ワークフロー
MSI(Windows Installerファイル)とVBS(Visual Basicスクリプト)が最初の感染ベクターとして使用されました。これらのローダは、実際のmalware ペイロード(ランサムウェア、PikaBot、Cobalt Strike)をドロップまたは起動します。EV証明書で署名することで、電子メールフィルタ、アンチウイルス、Windows SmartScreenがこれらをブロックする可能性を低減しました。
ひとたびEV証明書を手に入れると、攻撃者は次のようになる:
- ハッシュの不一致を避けるため、暗号化後にのみペイロードに署名。
- EV署名が無効になるため、署名後にファイルを変更しないよう互いに警告。
- これらの証明書は、リパックされたPikaBotインストーラ、MSIおよびVBSローダ、その他のmalware 署名に使用された。この会話から、Black Basta 関連会社が、.pfxベースの証明書とハードウェアトークンベース(YubiKeyなど)のEV証明書の両方で、EV証明書を使用してmalware 署名する際の詳細な手順が明らかになりました。以下は、抽出された正確な署名手順とコマンドラインの使用法である:
.pfxベースのEV証明書による署名
工具要件
- Microsoft Windows SDK (signtool.exeを提供)
- 有効な .pfx 証明書ファイルとパスワード 署名スクリプトの例 (sign.cmd)
サインスクリプトの例 (sign.cmd)
エコーオフ
set SIGNTOOL="C:¥Program Files (x86)¥Windows Kits¥10.0.22000.0x64signtool.exe"
set CERT=cert.pfx
set PASSWORD=****
セットFILE=calc.exe
set TIMESTAMP=http://timestamp.digicert.com
SIGNTOOL%sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE%%SIGNTOOL%sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE
このスクリプトは、バイナリが確実にタイムスタンプされるようにし、 証明書の有効期限切れ後に署名が無効になるのを防ぐ。攻撃者は署名の完全性を維持するため、暗号化後にのみ署名する。署名後にバイナリを変更すると、EVマークが無効になる。
ハードウェアトークンベースのEV証明書(YubiKey & VirtualHere)
リモートアクセスの設定
- 攻撃者は、クライアント側とサーバー側の両方にVirtualHereをインストールし、RDPセッション全体でUSBトークン接続を転送する。
- YubiKey Smartcard Minidriverがリモートマシンにロードされ、Windowsがcertmgr.mscで証明書を認識できるようになる。
署名コマンド
signtool.exe sign /sha1 <certificate_thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <payload.exe>
証明書の拇印は、Windowsの証明書プロパティまたはcertmgr.mscを介して取得される。攻撃者は、署名後にバイナリを調整するとEV署名の有効性が失われることを強調し、厳密に最後に署名する。
Black Basta EVプロセスにおけるその他の洞察
- 一部のアフィリエイトは、定義済みのsign.cmdテンプレートを使用して複数のファイルに一括署名する自動化スクリプトを構築した。
- チャット・ログによると、複数のEV証明書が中央リポジトリに保管されていた。文書化された "ストレージ障害 "イベントは、"私たちのすべての鍵 "が1つの危殆化したVDSに存在していたため、混乱を引き起こした。
- EV証明書を含む特定のアーカイブ(.rarファイル)への参照(例えば、EV56wallfort[SSL.com].rar)は、オンデマンド使用のために複数の証明書を保持するグループの実践を確認する。
- このグループは、失効した証明書を組織的に監視し、発見が表面化したときや、署名機関が盗まれたことが分かっているクレデンシャルをブロックしたときに、迅速に新しいEV証明書に切り替えた。
これはあなたの会社にとって何を意味するのか?
malware (EV証明書を介して)信頼できる企業のバッジを付けて現れると、それは説得力のある警察の制服を着た犯罪者のようなものだ。自動化されたチェックの多くは、最初にマルウェアを入れてしまうかもしれない。これにより、デジタル証明書の信頼性が損なわれ、malware発見が難しくなり、ランサムウェアによる組織データの暗号化や攻撃者による情報の窃取など、現実的な被害につながる可能性がある。
システムが署名ベースの許可リストにのみ依存していたり、EV署名されたコードのみを信頼している場合、危険にさらされている。EV署名されたmalware 当初、ほとんどの従来のチェックやユーザーの懐疑的な見方を回避する。
攻撃者の「靴下ボット」戦略も、IPベースの検知やブロッキングを複雑にする。たとえ1つのノードがシャットダウンされたとしても、彼らは新しいプロキシノードにピボットし、継続的な配信を維持することができる。
EV証明書の悪用から身を守るために何をすべきか?
脅威行為者が所有する盗まれたEV証明書は、強力なカモフラージュツールとして機能し、感染の成功率を高めます。Black Bastaチャットログは、あるペイロードの検出しきい値が上がると、そのペイロードを修正して別のEV証明書で再署名し、悪意のあるファイル配布の大量サイクルを永続させるという、繰り返し発生するパターンを確認しています。この組織的なアプローチは、多くのセキュリティ・コントロールが署名されたコードを解釈する方法の脆弱性を悪用するものであり、より高度な、行動に焦点を当てた防御戦略を展開することが極めて重要になります。
シグネチャの枠を超え、不審な挙動を監視するツールが最大の防御となる。一見正当なシグネチャを持つファイルであっても、Vectra AI Platformのような製品であれば、ネットワーク内での異常な動作にフラグを立てることができる。これを既存のエンドポイント検出およびレスポンス (EDR)ソリューションと組み合わせることで、疑わしい実行ファイルを迅速に隔離または封じ込め、たとえそれがEV署名されていたとしても、その拡散を阻止することができる。
実際にVectra AIをご覧になりたいですか?今すぐデモをご請求ください!