你还在忽视供应链安全?安全厂商开发的软件被植入后门
作者: 日期:2017年09月20日 阅:6,282

消费者从信息安全专家那里听到的警告,多专注在信任上:不要点击来自非受信发家的网页链接或附件,仅安装来自可信源或可信应用商店的App。但最近,狡猾的黑客开始将攻击深入到软件供应链,在你点击安装之前,就把恶意软件潜伏进可信厂商的下载中去了。

9月18日,思科Talos安全研究部揭示,至少上月开始,黑客破坏了超级流行的计算机清理工具CCleaner,在其更新中嵌入后门,潜入数百万个人电脑系统中。该攻击辜负了消费者对CCleaner开发者Avast的基本信任,其他软件公司也受牵连,消费者信任下滑。因为恶意软件竟是捆绑到合法软件中分发的,而且还是安全公司出品的合法软件。

同时,这也是一起越来越常见的安全事件。过去3个月里,黑客利用数字供应链植入恶意代码的事件就发生了3起。恶意代码藏身软件公司自身的安装与更新系统,劫持这些受信渠道以隐秘传播。

思科Talos团队主管克莱格·威廉姆斯称:“这些供应链攻击中有一种值得警惕的趋势。攻击者认识到,只要找到这些软目标——没有太多安全操作的公司,他们就能劫持其客户群,用作他们自己的恶意软件安装基础。这种事情出现越多,就会有更多的攻击者被吸引到这种方法上来。”

Avast称,从8月份刚被破坏,到上周思科一款网络监视工具贝塔版发现该流氓App在某客户网络中表现异常,1个月左右的时间里,此受污染的CCleaner版本已被安装了227万次。而以色列安全公司Morphisec通报Avast该问题的时间甚至更早,在8月中旬。

Avast对CCleaner的安装程序和更新包都做了加密签名,没有不可伪造的加密密钥,骗子是不可能冒充其下载的。但黑客显然在该签名出现之前,就已渗透了Avast的软件开发或分发过程。于是,该反病毒公司基本上就是在恶意软件上盖上自己的认可标志,然后推送给消费者。

就在2个月前,名为NotPetya的破坏性软件大爆发,也是经由类似的供应链漏洞投送的。那次事件中,数百目标集中在乌克兰,但其他欧洲国家和美国也受到了波及。该软件以勒索软件自居,但被广泛认为实际上是数据清除类破坏工具,征用了在乌克兰很流行的一款冷门会计软件MeDoc的更新机制。NotPetya将该更新机制作为感染切入点,然后通过企业网络传播,搞瘫了数百家公司的运营,从乌克兰银行和电厂,到丹麦航运巨头马士基,到美国药业巨头Merck。

1个月后,俄罗斯安全公司卡巴斯基的研究人员,发现了另一起供应链攻击,他们称其为“Shadowpad”:通过销售企业和网络管理工具的韩国公司Netsarang分发的带毒软件,黑客偷渡了能够往数百家银行、能源企业和医药公司下载恶意软件的一款后门。

卡巴斯基分析师伊戈尔·索门科夫写道:“ShadowPad例证了成功供应链攻击的危险程度和波及范围。鉴于攻击者由此获得的染指及数据收集机会,有很大可能性这一模式会被一遍又一遍地在其他广为使用的软件组件上复制。”

卡巴斯基自身也在处理其软件信任问题:美国国土安全部已禁止美国政府机构使用卡巴斯基产品;零售巨头Best Buy也将其软件下架了,原因是怀疑卡巴斯基的产品可能被俄罗斯政府滥用。

供应链攻击这些年来间歇式地出现。但安全公司 Rendition Infosec 研究员兼顾问杰克·威廉姆斯称,今年夏天的多起事件,呈现出此类攻击的小幅上升趋势。

我们对开源或广泛分发的软件有依赖,但这些分发点本身是脆弱的,已经成为了新的诱人攻击点。

威廉姆斯辩称,推升供应链的原因,有部分是因为消费者安全的改善,以及公司企业切断了其他一些感染的捷径。防火墙已几近普遍;在微软Office或PDF阅读器这样的应用中寻找可利用漏洞,已不再像以往那么容易;虽然不是总是如此,但公司企业确实越来越以非常及时的方式应用安全补丁。

在一般安全方面,人们做得越来越好。但这些软件供应链攻击打破了所有模型。它们突破了反病毒和基本安全检查。而且有时候补丁本身就是攻击方法。

人们信任公司,而当人们被以这种形式攻击,该信任就真的一落千丈了。这是对良好行为的惩罚。

——克莱格·威廉姆斯,思科Talos

最近的几起案例中,黑客又更上了一层,不仅仅从攻击消费者改为攻击软件公司,还发展到攻击这些公司程序员所用的开发工具上了。

2015年底,中国程序员常用的网站上,黑客放上了苹果开发者工具Xcode的虚假版本。这些虚假工具往39款iOS应用中注入名为XcodeGhost的恶意代码,很多被感染应用都通过了苹果应用商店的审查,造成史上最大规模的iOS恶意软件爆发。

就在上周,没那么严重,但是很类似的问题,袭击了Python开发者——斯洛伐克政府警告称:名为Python Package Index (PyPI)的Python代码库,被载入了恶意代码。

各种各样的供应链攻击特别隐蔽,因为它们违背了计算机安全对消费者所说的每一条基本箴言,让那些忠于已知可信软件源的用户,与随便点击安装的用户,同样毫无防护。当最近的恶意软件源竟然是Avast这样的安全公司时,被黑风险甚至倍增。威廉姆斯说:“人们信任公司,而当人们被以这种形式攻击,该信任就真的一落千丈了。这是对良好行为的惩罚。”

这种攻击让消费者没有多少选项可保护自身。最好的情况是,你可以尝试稍微弄清你所用软件的出品公司的内部安全操作,或者考察不同应用,以确认它们是否按照可防被黑的安全操作创建的。

但对普通互联网用户而言,很难获取或理解此类信息。最终,保护这些用户不受越来越多的供应链攻击骚扰的责任,不得不落到供应链头上——自身漏洞被传导至信任他们的客户身上的那些公司。

相关阅读

一种新型攻击手法:供应链攻击
供应链安全五大关键数字风险的思考

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章