Подписание кода - это метод цифровой подписи исполняемых файлов для проверки автора исполняемого файла и гарантии целостности исполняемого файла. При использовании этой подтехники злоумышленники копируют метаданные и информацию о подписи кода подписанных файлов в свои вредоносные программы.
Поскольку подпись кода может быть действительна только для определенной программы, она не будет действительна для любой другой программы. Поэтому, в отличие от техники T1553 Subvert Trust Controls, клонирование подписи кода не приводит к получению действительной подписи. Клонирование подписи кода может обмануть пользователей и средства контроля безопасности; они не смогут пройти проверку цифровой подписи.
Злоумышленники используют следующие инструменты для этой техники:
- MetaTwin: этот инструмент может скопировать метаданные и подпись AuthentiCode из одного файла и внедрить их в другой.
- Resource Hacker (взломщик ресурсов): MetaTwin использует этот инструмент для извлечения ресурсов легитимного двоичного файла.
- SigThief: MetaTwin использует этот инструмент для извлечения информации о цифровой подписи легитимного бинарного файла . Затем MetaTwin переносит извлеченные метаданные и информацию о цифровой подписи в целевой двоичный файл.
В марте 2023 года UNC4736 смог подписать троянскую версию приложения 3CX Desktop в ходе атаки на цепочку поставок. Злоумышленники использовали SigFlip, инструмент, предназначенный для исправления PE-файлов с аутентичной подписью, чтобы внедрить вредоносную полезную нагрузку в легитимное приложение. Поскольку SigFlip не влияет на существующие подписи аутентификации и не нарушает их, злоумышленникам удалось обманом заставить ничего не подозревающих пользователей загрузить троянское приложение 3CX Desktop с официального сайта.