9月19日消息,據國外媒體報道,我們往往接觸到的軟件安全問題都是關于信任源:不要點擊不明來源的網頁鏈接或附件,只能從受信任的來源或受信任的應用商店中安裝應用程序。但是,最近黑客開始在軟件供應鏈上諸如攻擊,甚至在用戶點擊安裝之前,黑客已經將惡意軟件植入到受信供應商的軟件之中。
周一,思科Talos安全研究部門透露,上月黑客破壞了超流行的免費電腦清理工具CCleaner,將一個后門插入到該工具的應用程序更新中,至少影響了數百萬臺個人電腦。這種攻擊將惡意軟件直接植入了CCleaner開發商Avast的軟件開發過程,并通過安全公司分發給用戶。這種攻擊越來越常見。在過去三個月里,黑客三次利用軟件供應鏈中的漏洞在軟件公司自己的安裝程序或系統更新中植入惡意代碼,并通過那些受信渠道傳播惡意代碼。
思科Talos團隊負責人克雷格·威廉姆斯(Craig Williams)表示“這些供應鏈攻擊有相關性。 “攻擊者意識到,如果他們能找到那些沒有采用有效安全防范措施的軟件公司,他們就可以劫持起客戶群,并將其用作自己惡意軟件的安裝基礎。我們發現的類似情況越多,也就意味著類似的攻擊越多。“
根據Avast透露,從應用程序第一次被破壞開始,植入惡意軟件的CCleaner應用程序的已經安裝了287萬次。直到上周,一個測試版的思科網絡監控工具發現了其中問題。事實上,以色列安全公司Morphisec早在8月中旬就提醒了Avast注意此類問題。而Avast雖然對CCleaner的安裝程序和更新進行了加密,以防止攻擊者在沒有加密密鑰的情況下進行欺騙下載。但是黑客們的高明之處在于,其在數字簽名生效之前就已經侵入了Avast的軟件分發流程,這樣一來安全公司本質上是為惡意軟件打上了安全的標志,并把它分發給用戶。
兩個月前,也有黑客利用類似的軟件供應鏈漏洞將破壞性軟件“NotPetya”分發至數百個烏克蘭的目標,同時也傳播到了其他歐洲國家和美國。該軟件是一種勒索病毒,在烏克蘭其通過一款被稱為MeDoc的會計軟件更新進行傳播。?NotPetya使用MeDoc的更新機制作為依托,然后通過企業網絡進行傳播,造成了包括數千烏克蘭銀行和發電廠等公司業務癱瘓。線管影響甚至波及到了丹麥航空業巨頭馬士基以及美國制藥巨頭默克公司。
一個月之后,俄羅斯安全公司卡巴斯基研究人員發現了另一個軟件供應鏈攻擊,他們將其稱之為“Shadowpad”:黑客將一個后門程序通過企業網絡管理工具Netsarang的分發渠道下載到了韓國的數百家銀行,能源和藥品公司公司。卡巴斯基分析師Igor Soumenkov當時寫道:“ShadowPad是一個關于軟件供應鏈攻擊的典型例子,也表明這種攻擊方式是可多么危險和廣泛。”
對軟件供應鏈的攻擊已經多次出現。但是,安全公司Rendition Infosec的研究員和顧問杰克·威廉姆斯(Jake Williams)表示,這些攻擊事件也引起了人們對安全的高度關注。威廉姆斯說:“我們往往依賴于開放源碼或分布廣泛的軟件,恰恰這些軟件本身就是易受攻擊的。對于黑客來說,這些目標唾手可得”
威廉姆斯認為,黑客攻擊向供應鏈的轉移部分原因是用戶端的安全性不斷提高,而公司也通過各種防火墻切斷了其他較為容易感染病毒的途徑。現在,要發現Microsoft Office或PDF閱讀器等應用程序中可能存在的漏洞并不像以前那樣容易,而且越來越多的公司都在發布安全補丁。威廉姆斯說:“總體上的網絡安全性越來越好。但這些軟件供應鏈攻擊打破了以往的所有模式,他們能夠通過防病毒和基本的安全檢查,有時安全補丁本身就是攻擊源。
在最近的一些安全事件中,黑客還通過另一種方式對軟件供應鏈進行攻擊,其攻擊的不僅僅是軟件公司,而且還會攻擊這些公司程序員使用的開發工具。2015年底,黑客在中國開發人員經常光顧的網站上分發了蘋果開發者工具Xcode的假冒版本。這些假冒工具將稱為XcodeGhost的惡意代碼注入了39個iOS應用程序,其中不少軟件還通過了蘋果的App Store評測,導致了大規模的iOS惡意軟件爆發。就在上周,斯洛伐克政府警告稱,Python代碼庫或PyPI中已經被加載了惡意代碼。
思科的克雷格威廉姆斯(Craig Williams)說,這些供應鏈攻擊特別陰險,因為它們違反了消費者計算機安全的基本思想,這可能會讓那些堅持使用可信軟件來源的用戶和那些隨意安裝軟件的用戶一樣脆弱。特別是惡意軟件開始攻擊Avast這樣的安全公司時尤為如此。威廉姆斯說:“人們信任軟件公司,當他們這樣遭到安全威脅時,真的是打破了這種信任。”
威廉姆斯說,這些攻擊已經使消費者無法有效保護自己。最好的應對方法是,您可以盡量扼要地了解所使用軟件的公司的內部安全實踐,或者從應用程序中判讀該公司是否具備足夠的內部安全性。
但對于一般互聯網用戶而言,此類信息難以了解。最終,保護用戶免受類似供應鏈攻擊的責任也必須轉向軟件供應鏈,也就是讓那些有供應鏈漏洞的公司為之買單。
京公網安備 11010502049343號