Wie Bedrohungsakteure EV-Zertifikate missbrauchen

1. April 2025
Lucie Cardiet
Leiter Produktmarketing
Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Durchgesickerte interne Chatprotokolle enthüllen eine koordinierte Strategie, bei der Black Basta Tochtergesellschaften Extended Validation (EV)-Zertifikate verwenden, um bösartige Dateien zu signieren. Diese Taktik nutzt das erhöhte Vertrauen aus, das mit EV-signierten Anwendungen verbunden ist. Organisationen, die sich allein auf signaturbasiertes Vertrauen verlassen, werden angreifbar, da diese zertifizierten Binärdateien leicht durch herkömmliche Scanning-Mechanismen schlüpfen. In den Gesprächen wird detailliert beschrieben, wie Angreifer den Prozess der Umgehung der Erkennung durch Signierung von malware erwerben, verwalten und automatisieren.

Was sind EV-Zertifikate und wie hat Black Basta sie bekommen?

Extended Validation (EV)-Zertifikate sind spezielle digitale Zertifikate, die ein hohes Maß an Vertrauen in eine Anwendung oder Website zeigen. Die ausstellende Zertifizierungsstelle (CA) führt zusätzliche Überprüfungen des Unternehmens oder der Person durch, die das Zertifikat beantragt hat, um sicherzustellen, dass sie wirklich die Person ist, die sie vorgibt zu sein. In der Praxis vertrauen die Benutzer und viele Sicherheitslösungen EV-signierter Software mehr weil sie von einer offiziellen Stelle "verifiziert" wurde.

Beispiel für ein Extended Validation-Zertifikat von Global Sign

Während einige Bedrohungsakteure dafür bekannt sind, sich als geschlossene Unternehmen auszugeben, bestätigen die Protokolle, dass Black Basta entweder:

1. Unmittelbar erworbene EV-Zertifikate

BlackBasta kaufte EV-Zertifikate für 4.000 bis 4.500 Dollar von Untergrundforen oder Brokern.

"по $4000 каждый" ("$4000 pro Stück")
"таких у нас еще не было" ("so etwas haben wir noch nie gehabt")
"сейчас возьму пару штук про запас" ("Ich nehme noch ein paar mit, nur für den Fall")
"скидоссссс)))" ("habe einen Rabatt bekommen haha")

Diese Nachrichten waren in der Regel mit .rar-Dateien gepaart, die EV-Zertifikate enthielten und oft mit Firmennamen versehen waren (z. B. EV56wallfort[SSL.com].rar, EV4Avikser-llc2023-10-27[GlobalSign].rar)

Sie verlinkten auch zu Hosting-Plattformen wie: https://send[.]exploit[.]in/download/... https://transfer[.]sh/... Dort wurden die eigentlichen gestohlenen/betrügerisch erlangten Zertifikatspakete gehostet.

2. Kompromittierte Infrastrukturen für die Fernsignierung

Die Gruppe nutzte die Tools VirtualHere und YubiKey Minidriver, um aus der Ferne auf EV-Tokens zuzugreifen, die physisch an kompromittierte Geräte angeschlossen waren.

**"Sie benötigen Token17, doppelklicken Sie zum Verbinden. Kennwort: ******. Token PIN ist 123456" "Führen Sie certmgr.msc aus und prüfen Sie, ob das Zertifikat hinzugefügt wurde" "Signieren Sie Ihre Dateien mit signtool.exe"

Yubikey Minidriver

In einem kritischen Chat erklärt ein Nutzer:

"я переезжаю с той рдп - она в блеках" "Ich verlasse dieses RDP - es ist auf der schwarzen Liste."

Dies bezieht sich auf einen RDP-Server, der zuvor eine sensible Signierungsinfrastruktur (wahrscheinlich EV-Tokens) enthielt und auf die schwarze Liste gesetzt wurde. Diese Token werden in der Regel auf Hardware gespeichert (z. B. YubiKeys), aber auf sie wurde über Tools wie VirtualHere und signtool.exe aus der Ferne zugegriffen und sie wurden verwendet, wie in anderen Meldungen beschrieben. Das bedeutet, dass das EV-Zertifikat nicht anonym gekauft wurde, sondern von einem echten Unternehmen oder Entwickler gestohlen wurde, wahrscheinlich durch eine RDP-Kompromittierung.

In den durchgesickerten Black Basta werden zwei bestimmte EV-Zertifizierungsstellen (Emittenten) genannt, die zum Signieren von malware missbraucht wurden: SSL.com und GlobalSign.

Black BastaEV-Arbeitsablauf

MSI (Windows Installer-Dateien) und VBS (Visual Basic-Skripte) wurden als anfängliche Infektionsvektoren verwendet. Diese Loader setzten die eigentliche malware ab oder starteten sie (z. B. ransomware, PikaBot, Cobalt Strike). Die Signierung mit einem EV-Zertifikat verringerte die Wahrscheinlichkeit, dass E-Mail-Filter, Antivirenprogramme oder Windows SmartScreen sie blockieren würden.

Sobald sie im Besitz der EV-Zertifikate sind, können Angreifer:

  • Signierte Nutzdaten erst nach dem Verschlüsseln, um Hash-Fehlanpassungen zu vermeiden.
  • Sie haben sich gegenseitig davor gewarnt, Dateien nach dem Signieren zu verändern, da dies die EV-Signatur ungültig macht.
  • Mit diesen Zertifikaten wurden neu gepackte PikaBot-Installationsprogramme, MSI- und VBS-Loader sowie andere malware signiert. Die Unterhaltungen enthüllen detaillierte Anweisungen, die von Black Basta zum Signieren ihrer malware mit EV-Zertifikaten verwendet werden - sowohl für .pfx-basierte Zertifikate als auch für Hardware-Token-basierte (z. B. YubiKey) EV-Zertifikate. Nachfolgend finden Sie den genauen Signiervorgang und die Befehlszeilenverwendung extrahiert:

Signieren mit EV-Zertifikaten auf .pfx-Basis

Anforderungen an die Werkzeuge

  • Microsoft Windows SDK (Bereitstellung von signtool.exe)
  • Gültige .pfx-Zertifikatsdatei plus Passwort Beispielsignierskript (sign.cmd)

Beispiel für ein Signierskript (sign.cmd)

@echo off
set SIGNTOOL="C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe"
CERT=cert.pfx setzen
set PASSWORD=********
setze DATEI=calc.exe
set TIMESTAMP=http://timestamp.digicert.com

%SIGNTOOL%sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE%

Dieses Skript stellt sicher, dass die Binärdatei mit einem Zeitstempel versehen wird, damit die Signatur nach Ablauf des Zertifikats nicht ungültig wird. Angreifer signieren erst nach der Verschlüsselung, um die Integrität der Signatur zu wahren. Jede Änderung der Binärdatei nach dem Signieren macht die EV-Markierung ungültig.

Hardware-Token-basierte EV-Zertifikate (YubiKey & VirtualHere)

Einrichtung des Fernzugriffs

  • Angreifer installieren VirtualHere sowohl auf der Client- als auch auf der Serverseite, um die USB-Token-Verbindung über eine RDP-Sitzung weiterzuleiten.
  • Der YubiKey Smartcard Minidriver wird auf dem Remote-Rechner geladen, so dass Windows das Zertifikat in certmgr.msc erkennen kann.

Befehl zum Signieren

signtool.exe sign /sha1 <certificate_thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <payload.exe>

Der Thumbprint des Zertifikats wird über die Windows-Zertifikateigenschaften oder certmgr.msc ermittelt. Die Angreifer weisen darauf hin, dass das Anpassen der Binärdatei nach dem Signieren die Gültigkeit der EV-Signatur zerstört, weshalb sie grundsätzlich zuletzt signieren.

Zusätzliche Einblicke in den Black Basta EV-Prozess

  • Einige Partner haben Automatisierungsskripte entwickelt, um mehrere Dateien mit Hilfe von vordefinierten sign.cmd-Vorlagen zu signieren.
  • Chat-Protokolle zeigen, dass mehrere EV-Zertifikate in einem zentralen Repository gespeichert waren. Ein dokumentiertes "Speicherausfall"-Ereignis sorgte für Aufruhr, weil sich "alle unsere Schlüssel" auf einem einzigen kompromittierten VDS befanden.
  • Verweise auf bestimmte Archive (.rar-Dateien), die EV-Zertifikate enthalten (z. B. EV56wallfort[SSL.com].rar), bestätigen die Praxis der Gruppe, mehrere Zertifikate für die Verwendung auf Abruf zu speichern.
  • Die Gruppe suchte systematisch nach widerrufenen Zertifikaten und wechselte schnell zu einem neuen EV-Zertifikat, wenn es entdeckt wurde oder wenn die Signaturbehörde das bekannte gestohlene Zertifikat blockierte.

Was bedeutet das für Ihr Unternehmen?

Wenn malware unter dem Deckmantel eines vertrauenswürdigen Unternehmens (über ein EV-Zertifikat) auftaucht, ist sie wie ein Krimineller in einer überzeugenden Polizeiuniform. Viele automatisierte Überprüfungen lassen sie möglicherweise zunächst durch. Dies untergräbt die Vertrauenswürdigkeit digitaler Zertifikate, erschwert die Erkennung von malware und kann zu sehr realen Schäden führen, wie z. B. ransomware , die die Daten eines Unternehmens verschlüsselt, oder Angreifer, die Informationen stehlen.

Wenn sich Ihre Systeme ausschließlich auf signaturbasierte Zertifikatslisten verlassen oder nur EV-signiertem Code vertrauen, sind Sie gefährdet. EV-signierte malware umgeht zunächst die meisten herkömmlichen Prüfungen und die Skepsis der Benutzer.

Die "Socken-Bots"-Strategie der Angreifer erschwert auch die IP-basierte Erkennung oder Sperrung. Selbst wenn ein Knoten abgeschaltet wird, können sie auf einen neuen Proxy-Knoten ausweichen und die kontinuierliche Verbreitung aufrechterhalten.

Was sollten Sie tun, um sich gegen die Ausnutzung von EV-Zertifikaten zu schützen?

Die gestohlenen EV-Zertifikate, die sich im Besitz der Bedrohungsakteure befinden, dienen als leistungsfähiges Tarnwerkzeug und erhöhen die Erfolgsquote ihrer Infektionen. Die Chat-Protokolle von Black Bastabestätigen ein wiederkehrendes Muster: Sobald die Erkennungsschwellen für eine bestimmte Nutzlast ansteigen, modifiziert die Gruppe diese und signiert sie mit einem anderen EV-Zertifikat neu, um so einen hochvolumigen Zyklus der Verbreitung bösartiger Dateien aufrechtzuerhalten. Dieser systematische Ansatz nutzt Schwachstellen in der Art und Weise aus, wie viele Sicherheitskontrollen signierten Code interpretieren, was den Einsatz fortschrittlicher, verhaltensorientierter Verteidigungsstrategien erforderlich macht.

Tools, die über die Signatur hinausgehen und auf verdächtiges Verhalten achten, sind Ihr bester Schutz. Selbst wenn eine Datei eine scheinbar legitime Signatur aufweist, kann ein Produkt wie die Vectra AI Platform abnormale Aktionen innerhalb Ihres Netzwerks aufzeigen. Durch die Kombination mit Ihrer vorhandenen EDR-Lösung ( endpoint Detection and Response) können Sie verdächtige ausführbare Dateien schnell isolieren oder eindämmen und ihre Ausbreitung verhindern - selbst wenn sie EV-signiert sind.

Möchten Sie Vectra AI in Aktion erleben? Fordern Sie noch heute eine Demo an!

Häufig gestellte Fragen