为了提高公司的科研开发和办公效率,降低时间和人工费,任何公司的服务器和办公电脑都离不开第三者的开源和商业软件。通常,很多公司假设上流供应商的安全得到保障,或者在很多情况下无法确认供应商的安全性,即使知道供应商没有那么可靠,也无法强制安全,但是为了满足自己的需求也会妥协采用。因此,软件供应链攻击的伤害效果显着,黑客攻击上游后,控制下游也会变成水路。这种攻击具有隐蔽性强、影响范围广、投入生产率高等特点,是恶意攻击者热衷的渗透手段,也是公司、个人和安全保障队伍难以完全消除的攻击场景。
2021年春节期间,国外安全科研人员发表了Python/Nodejs/Ruby依赖混乱攻击的安全测试成果,可以得到苹果、Microsoft、PayPal、Tesla等众多国际着名公司的服务器控制权限,立即引起关注,当天紧急跟进分析,2020年8月监视攻击,拦截了许多攻击事件。
最近,作者在国内多名安全科研人员共同组织的第四届冰山安全闭门会中分享了团队科研的注意事项,本文为脱敏共享,希望更多安全员工参加交流探讨,共同应对恶意软件供应链攻击,开发运输等人员了解软件供应链攻击风险随着国家级安全攻防训练中攻击队的手段不断深化升级,从0/Nday远程攻击网络系统,到社工钓鱼攻击企业员工,到机房职场近程攻击,相信今年软件供应链攻击也不可或缺。
什么是供应链攻击?黑客通过攻击或伪造第三方硬件和软件产品,或劫持中间流量植入木马,供应商自身也有可能申请后门,用户使用时达到攻击用户的目的。
供应链攻击不是一种新的攻击方式,至少存在于十几年前,近年来用户数量多的着名软件、硬件植入木马后门,影响范围广,风险越来越突出。这里讨论的供应链攻击只包括刻意植入/申请木马后门的情况,不包括刻意制造脆弱性的情况。开发阶段、分发阶段、使用阶段可能会发生供应链攻击,一起回顾典型的案例。
1.产品开发阶段。
1)源代码编译受到攻击污染,典型案例如下
2015年Xcode事件:恶意XcodeIDE编译的APP被注入恶意代码,在AppStore发表的多个APP中携带病毒。二零一七年Xshell、CCbeaner事件:官方被黑客侵入,黑客在源代码中加入了远程控制木马代码,官方提供的软件带来了远程控制木马的后门。2020年SolArcwfinds事件:SolArcwfinds正式入侵黑客,软件包被篡改移植到后门,18000名客户设置了带毒软件,包括多家美国政府机关和大型企业。
2)供应商申请后门,典型案例如下
2015年JuniperVPN后门事件:申请通用SSH密码,可盗取设备管理权限。二零一七年惠普笔记本声卡驱动内嵌键盘钩子后门事件:申请键盘钩子后门,用户输入信息泄漏。二零一七年,许多Chrome插件爆炸后门,盗取浏览器用户密码。