黑客攻擊手段升級:惡意軟件植入合法軟件之中(zhōng)

發布日期:2017-09-20首頁 > 安全資(zī)訊
705-1F920113PXQ.jpg
 

9月19日消息,據國外(wài)媒體(tǐ)報道,我(wǒ)們往往接觸到的軟件安全問題都是關于信任源:不要點擊不明來源的網頁鏈接或附件,隻能從受信任的來源或受信任的應用商(shāng)店(diàn)中(zhōng)安裝應用程序。但是,最近黑客開(kāi)始在軟件供應鏈上諸如攻擊,甚至在用戶點擊安裝之前,黑客已經将惡意軟件植入到受信供應商(shāng)的軟件之中(zhōng)。

周一(yī),思科Talos安全研究部門透露,上月黑客破壞了超流行的免費(fèi)電(diàn)腦清理工(gōng)具CCleaner,将一(yī)個後門插入到該工(gōng)具的應用程序更新中(zhōng),至少影響了數百萬台個人電(diàn)腦。這種攻擊将惡意軟件直接植入了CCleaner開(kāi)發商(shāng)Avast的軟件開(kāi)發過程,并通過安全公司分(fēn)發給用戶。這種攻擊越來越常見。在過去(qù)三個月裏,黑客三次利用軟件供應鏈中(zhōng)的漏洞在軟件公司自己的安裝程序或系統更新中(zhōng)植入惡意代碼,并通過那些受信渠道傳播惡意代碼。

思科Talos團隊負責人克雷格·威廉姆斯(Craig Williams)表示“這些供應鏈攻擊有相關性。 “攻擊者意識到,如果他們能找到那些沒有采用有效安全防範措施的軟件公司,他們就可以劫持起客戶群,并将其用作自己惡意軟件的安裝基礎。我(wǒ)們發現的類似情況越多,也就意味着類似的攻擊越多。“

根據Avast透露,從應用程序第一(yī)次被破壞開(kāi)始,植入惡意軟件的CCleaner應用程序的已經安裝了287萬次。直到上周,一(yī)個測試版的思科網絡監控工(gōng)具發現了其中(zhōng)問題。事實上,以色列安全公司Morphisec早在8月中(zhōng)旬就提醒了Avast注意此類問題。而Avast雖然對CCleaner的安裝程序和更新進行了加密,以防止攻擊者在沒有加密密鑰的情況下(xià)進行欺騙下(xià)載。但是黑客們的高明之處在于,其在數字簽名生(shēng)效之前就已經侵入了Avast的軟件分(fēn)發流程,這樣一(yī)來安全公司本質上是爲惡意軟件打上了安全的标志(zhì),并把它分(fēn)發給用戶。

兩個月前,也有黑客利用類似的軟件供應鏈漏洞将破壞性軟件“NotPetya”分(fēn)發至數百個烏克蘭的目标,同時也傳播到了其他歐洲國家和美國。該軟件是一(yī)種勒索病毒,在烏克蘭其通過一(yī)款被稱爲MeDoc的會計軟件更新進行傳播。?NotPetya使用MeDoc的更新機制作爲依托,然後通過企業網絡進行傳播,造成了包括數千烏克蘭銀行和發電(diàn)廠等公司業務癱瘓。線管影響甚至波及到了丹麥航空業巨頭馬士基以及美國制藥巨頭默克公司。

一(yī)個月之後,俄羅斯安全公司卡巴斯基研究人員(yuán)發現了另一(yī)個軟件供應鏈攻擊,他們将其稱之爲“Shadowpad”:黑客将一(yī)個後門程序通過企業網絡管理工(gōng)具Netsarang的分(fēn)發渠道下(xià)載到了韓國的數百家銀行,能源和藥品公司公司。卡巴斯基分(fēn)析師Igor Soumenkov當時寫道:“ShadowPad是一(yī)個關于軟件供應鏈攻擊的典型例子,也表明這種攻擊方式是可多麽危險和廣泛。”

對軟件供應鏈的攻擊已經多次出現。但是,安全公司Rendition Infosec的研究員(yuán)和顧問傑克·威廉姆斯(Jake Williams)表示,這些攻擊事件也引起了人們對安全的高度關注。威廉姆斯說:“我(wǒ)們往往依賴于開(kāi)放(fàng)源碼或分(fēn)布廣泛的軟件,恰恰這些軟件本身就是易受攻擊的。對于黑客來說,這些目标唾手可得”

威廉姆斯認爲,黑客攻擊向供應鏈的轉移部分(fēn)原因是用戶端的安全性不斷提高,而公司也通過各種防火(huǒ)牆切斷了其他較爲容易感染病毒的途徑。現在,要發現Microsoft Office或PDF閱讀器等應用程序中(zhōng)可能存在的漏洞并不像以前那樣容易,而且越來越多的公司都在發布安全補丁。威廉姆斯說:“總體(tǐ)上的網絡安全性越來越好。但這些軟件供應鏈攻擊打破了以往的所有模式,他們能夠通過防病毒和基本的安全檢查,有時安全補丁本身就是攻擊源。

在最近的一(yī)些安全事件中(zhōng),黑客還通過另一(yī)種方式對軟件供應鏈進行攻擊,其攻擊的不僅僅是軟件公司,而且還會攻擊這些公司程序員(yuán)使用的開(kāi)發工(gōng)具。2015年底,黑客在中(zhōng)國開(kāi)發人員(yuán)經常光顧的網站上分(fēn)發了蘋果開(kāi)發者工(gōng)具Xcode的假冒版本。這些假冒工(gōng)具将稱爲XcodeGhost的惡意代碼注入了39個iOS應用程序,其中(zhōng)不少軟件還通過了蘋果的App Store評測,導緻了大(dà)規模的iOS惡意軟件爆發。就在上周,斯洛伐克政府警告稱,Python代碼庫或PyPI中(zhōng)已經被加載了惡意代碼。

思科的克雷格威廉姆斯(Craig Williams)說,這些供應鏈攻擊特别陰險,因爲它們違反了消費(fèi)者計算機安全的基本思想,這可能會讓那些堅持使用可信軟件來源的用戶和那些随意安裝軟件的用戶一(yī)樣脆弱。特别是惡意軟件開(kāi)始攻擊Avast這樣的安全公司時尤爲如此。威廉姆斯說:“人們信任軟件公司,當他們這樣遭到安全威脅時,真的是打破了這種信任。”

威廉姆斯說,這些攻擊已經使消費(fèi)者無法有效保護自己。最好的應對方法是,您可以盡量扼要地了解所使用軟件的公司的内部安全實踐,或者從應用程序中(zhōng)判讀該公司是否具備足夠的内部安全性。

但對于一(yī)般互聯網用戶而言,此類信息難以了解。最終,保護用戶免受類似供應鏈攻擊的責任也必須轉向軟件供應鏈,也就是讓那些有供應鏈漏洞的公司爲之買單。