当前位置：首页 > news >正文

Fox Tempest深度解析：微软1000+证书被吊销背后的代码签名信任危机

news 2026/5/27 9:35:01

引言：信任基石的崩塌

2026年5月19日，微软发布重磅安全公告，宣布成功摧毁了一个名为Fox Tempest的跨国网络犯罪组织。该组织自2025年5月起，系统性地滥用微软最新推出的Artifact Signing（原Azure Trusted Signing）云代码签名服务，为全球黑产提供"恶意软件签名即服务（MSaaS）"，累计生成并分发了1000+张欺诈性代码签名证书。

这起事件之所以引发全球安全界震动，不仅因为其规模空前，更因为它直接击穿了现代计算环境中最核心的信任机制——代码签名。当勒索软件、窃密木马被打上"微软认证可信"的标签时，传统的杀毒软件和EDR系统几乎完全失效，企业和个人用户面临着前所未有的安全威胁。

本文将从技术深度、攻击规模、影响范围、防御策略和行业趋势五个维度，全面解析这起2026年迄今为止最严重的软件供应链安全事件。

一、事件背景：当信任成为攻击武器

1.1 什么是微软Artifact Signing？

微软Artifact Signing于2024年11月正式推出，是一款面向开发者的云原生代码签名服务。其设计初衷是解决传统代码签名证书管理复杂、私钥易泄露、证书有效期长等问题。

核心特性：

证书自动轮换，有效期仅72小时
微软托管私钥，开发者无需管理敏感密钥
与Azure DevOps、GitHub Actions等CI/CD工具无缝集成
支持公共信任和私有信任两种模式

微软曾宣称，Artifact Signing是"最安全的代码签名解决方案"，能够"从根本上杜绝证书滥用"。然而，Fox Tempest的出现证明，再先进的技术也无法完全抵御有组织、有资源的网络犯罪攻击。

1.2 Fox Tempest：黑产界的"信任批发商"

Fox Tempest是一个高度专业化的网络犯罪组织，其商业模式与传统黑客截然不同。它不直接攻击受害者，而是专注于为其他黑产组织提供基础设施和技术支持，通过"卖铲子"的方式获取巨额利润。

微软威胁情报中心（MSTIC）自2025年9月开始追踪该组织，发现其核心业务就是恶意软件签名即服务（MSaaS）。通过滥用合法的代码签名服务，Fox Tempest能够为任何恶意程序颁发"可信证书"，让它们轻松绕过安全检测。

二、攻击技术深度解析：从身份伪造到证书分发

2.1 完整攻击流程图

图1：Fox Tempest与Vanilla Tempest联合攻击链（来源：微软安全博客）

2.2 攻击步骤详解

步骤1：大规模身份伪造与Azure租户创建

Fox Tempest攻击的第一步，也是最关键的一步，是绕过微软的身份验证机制。为了获取Artifact Signing服务的访问权限，攻击者需要创建合法的Azure租户和订阅。

技术细节：

使用美国和加拿大地区的被盗身份信息注册微软账号
创建了580+个欺诈性Azure租户和数百个订阅
每个租户都通过了微软的身份验证流程，获得了完整的Artifact Signing使用权限

这一步骤暴露了云服务身份验证机制的一个根本性弱点：只要身份信息是真实的，系统就无法区分合法用户和恶意用户。

步骤2：批量申请短期代码签名证书

一旦获得Azure租户访问权限，Fox Tempest就开始批量申请Artifact Signing证书。由于证书有效期仅72小时，攻击者需要不断生成新证书来维持服务。

技术细节：

每个证书有效期严格72小时，到期自动失效
证书由微软根证书颁发机构（Microsoft ID Verifier CA）签发
证书包含"Subscriber identity validation"扩展，表明已通过身份验证

图2：Fox Tempest生成的欺诈性代码签名证书示例（来源：微软安全博客）

步骤3：搭建SignSpace云签名平台

为了将证书变现，Fox Tempest搭建了一个名为signspace[.]cloud的在线平台，向全球黑产兜售签名服务。

平台功能：

用户注册与登录系统
恶意文件上传与签名接口
订单管理与支付系统
客户支持（通过Telegram）

图3：SignSpace平台登录界面和文件上传界面（来源：微软安全博客）

步骤4：业务模式升级：从云平台到预配置VM

2026年2月，Fox Tempest对其基础设施进行了重大升级，从基于网页的签名平台转变为预配置虚拟机（VM）交付模式。

升级原因：

提高操作安全性，减少被追踪的风险
降低客户使用门槛，提高服务效率
更好地控制签名过程，防止客户滥用

新业务流程：

客户通过Google Form选择服务套餐（$5000-$9000）
支付比特币后，获得一个预配置VM的RDP访问凭证
直接在VM中上传恶意文件进行签名
下载签名后的二进制文件用于攻击

图4：Fox Tempest的Google Form订单页面、Telegram客服频道和预配置VM访问界面（来源：微软安全博客）

2.3 签名代码技术实现

微软在调查过程中，获取了Fox Tempest用于签名文件的完整代码。以下是从其预配置VM中提取的PowerShell签名脚本示例：

# Fox Tempest代码签名脚本（提取自signspace.cloud VM）# 配置文件：metadata.json$config=Get-Content-Path"C:\sign\metadata.json"|ConvertFrom-Json# 签名参数$signingAccount=$config.signingAccount$certificateProfile=$config.certificateProfile$endpoint=$config.endpoint# 使用signtool.exe进行签名functionSign-File{param([Parameter(Mandatory=$true)][string]$FilePath)$arguments= @("sign","/n",$signingAccount,"/fd","SHA256","/tr","http://timestamp.digicert.com","/td","SHA256","/as","/v",$FilePath)&"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22621.0\x64\signtool.exe"$arguments}# 示例用法# Sign-File -FilePath "C:\malware\payload.exe"

关键技术点：

使用微软官方的signtool.exe工具进行签名
签名过程完全在Azure云端完成，私钥不会泄露到VM中
自动添加时间戳，确保证书过期后签名仍然有效

三、攻击规模与全球影响

3.1 业务规模与获利情况

Fox Tempest的MSaaS业务运营了整整一年，取得了惊人的"商业成功"：

证书数量：生成1000+张欺诈性代码签名证书
客户数量：服务了数十个顶级勒索软件组织和窃密木马团伙
收费标准：基础套餐$5000，高级套餐$9000（含优先队列）
总获利：通过加密货币分析，确认获利数百万美元

3.2 下游恶意软件家族

Fox Tempest的客户几乎涵盖了当前所有活跃的顶级黑产组织：

勒索软件家族：

Rhysida（英国图书馆、西雅图-塔科马国际机场攻击的幕后黑手）
INC
Qilin
Akira
BlackByte

窃密木马家族：

Lumma Stealer
Vidar
Oyster（也被称为Broomstick）
Aurora
Malcert

其他威胁：

MuddyWater（伊朗情报部门支持的网络间谍组织）

3.3 全球影响范围

Fox Tempest的服务被用于针对全球多个国家和行业的攻击：

受影响国家：

美国（受影响最严重）
法国
印度
中国
巴西
德国
日本
英国
意大利
西班牙

受影响行业：

医疗保健
教育
政府机构
金融服务
制造业
零售业

四、微软的全面处置行动

2026年5月，微软数字犯罪部门（DCU）联合行业合作伙伴Resecurity，对Fox Tempest发起了代号为"Operation Trust Buster"的全面打击行动。

4.1 技术处置措施

证书吊销：立即吊销了所有与Fox Tempest关联的1000+张代码签名证书
账号封禁：关闭了所有580+个欺诈性Azure租户和订阅
基础设施查封：
- 扣押了signspace[.]cloud域名
- 关停了数百个运行签名服务的VM
- 冻结了相关的GitHub代码仓库（code-signing-service）
第三方合作：与Cloudzy等VPS提供商合作，清除了所有Fox Tempest控制的服务器

4.2 法律行动

微软在美国纽约南区法院对Fox Tempest及其关联组织Vanilla Tempest提起了民事诉讼，指控其违反了：

《 Racketeer Influenced and Corrupt Organizations Act（RICO）》
《Computer Fraud and Abuse Act（CFAA）》
《Lanham Act》（商标法）
合同法
普通法中的动产侵权和不当得利

这是微软首次针对恶意软件签名即服务提供商提起法律诉讼，具有里程碑式的意义。

4.3 服务安全加固

为了防止类似事件再次发生，微软对Artifact Signing服务进行了全面的安全加固：

加强了身份验证流程，引入了多因素身份验证（MFA）强制要求
增加了异常行为检测系统，实时监控证书申请和使用情况
降低了单个租户的证书申请频率限制
改进了证书吊销机制，实现了更快的响应速度

五、企业应急响应与检测指南

5.1 证书吊销检测

微软已经发布了所有被吊销证书的SHA-1和SHA-256指纹列表。企业安全团队应该立即在自己的环境中检测是否存在使用这些证书签名的文件。

PowerShell检测脚本：

# 检测Fox Tempest被吊销证书签名的文件# 下载微软官方证书指纹列表：https://aka.ms/foxtempest-certificates$revokedThumbprints=Get-Content-Path"foxtempest-revoked-certs.txt"# 扫描指定目录$scanPath="C:\"$results= @()Get-ChildItem-Path$scanPath-Recurse-Filter*.exe-ErrorAction SilentlyContinue|ForEach-Object{try{$signature=Get-AuthenticodeSignature-FilePath$_.FullNameif($signature.Status-eq"Valid"-and$signature.SignerCertificate-ne$null){$thumbprint=$signature.SignerCertificate.Thumbprintif($revokedThumbprints-contains$thumbprint){$results+=[PSCustomObject]@{FilePath =$_.FullName Thumbprint =$thumbprintSubject =$signature.SignerCertificate.Subject Issuer =$signature.SignerCertificate.Issuer ValidFrom =$signature.SignerCertificate.NotBefore ValidTo =$signature.SignerCertificate.NotAfter}}}}catch{}}# 输出结果$results|Format-Table-AutoSize

5.2 进程行为检测

除了直接检测证书指纹外，企业还应该监控以下异常行为：

来自非官方渠道的Microsoft Teams、AnyDesk、PuTTY等知名软件的安装程序
签名证书有效期极短（72小时）的可执行文件
签名者为"Microsoft ID Verifier CA"但发布者不为人知的程序
执行后立即创建网络连接到未知IP或域名的签名程序

5.3 关键IOC指标

域名：

signspace[.]cloud（已被微软查封）

证书颁发者：

CN=Microsoft ID Verifier CA, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

恶意软件哈希：

微软官方IOC列表：https://aka.ms/foxtempest-iocs

5.4 防御措施建议

启用应用程序控制：使用Windows Defender应用程序控制（WDAC）或AppLocker，只允许经过批准的应用程序运行
加强软件供应链管理：只从官方渠道下载软件，避免使用第三方下载站
启用攻击面减少规则：在Microsoft Defender for Endpoint中启用以下规则：
- “阻止来自Office应用程序的可执行内容”
- “阻止可疑的脚本执行”
- “使用高级勒索软件防护”
定期审计代码签名证书：建立企业内部的代码签名证书管理制度，定期审计所有使用中的证书