摘要
2021年10月22日,在无锡举办的2021世界物联网博览会-物联网信息安全高峰论坛上,奇安信威胁情报中心负责人汪列军带来了闭门会议议题《针对中国的供应链来源APT攻击分析》的精彩分享。议题重点介绍了国内遭受的APT供应链攻击的多个案例,披露了多个奇安信威胁情报中心红雨滴团队独家发现的针对我国的APT供应链攻击:包括针对某顶级虚拟货币交易所、某知名在线客服系统、多个国内网络安全公司的APT供应链攻击活动,影响面巨大。而这类来源于供应链并最终造成巨大危害的安全事件其实并不少见,在本报告中,奇安信威胁情报中心对软件供应链的概念进行了梳理,分析了各环节中已有的事件实例,最后提供一些从供应链安全角度对威胁进行防护的对策和建议。
威胁情报中心负责人汪列军分享议题《针对中国的供应链来源APT攻击分析》
02
概述
2021年10月22日,国内安全厂商披露了一起针对Npm仓库ua-parser-js库的供应链攻击活动。攻击者通过劫持ua-parser-js官方账号,并且投放恶意ua-parser-js安装包,该软件包每周下载量超百万次,影响面颇广。北美时间2020年12月13日,多家欧美媒体报道美国多个重要政企机构遭受了国家级APT组织的入侵,攻击疑似由于网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门导致。奇安信威胁情报中心第一时间通过解码部分DGA域名,推导出部分受害者计算机域,从而发现大量中招的知名企业和机构,其中不乏Intel、Cisco等在美高科技企业以及各类高校和政企单位。同时,近年来大量的使用软件捆绑进行传播的黑产活动也被揭露出来,从影响面来看这些恶意活动的力度颇为惊人,这类来源于供应链并最终造成巨大危害的安全事件其实并不少见,而我们所感知的可能只是冰山一角而已。
以最近这些事件为切入点,奇安信威胁情报中心对软件供应链来源的攻击做了大量的案例分析,得到了一些结论并提供对策建议。在本报告中,奇安信威胁情报中心首先对软件供应链的概念进行了梳理,划分了开发、交付及使用环节。然后针对每个环节,以实例列举的方式分析了相应环节中目前已经看到过的攻击向量,同时提供了每个事件的发生时间、描述、直接威胁和影响范围等信息。在这些案例分析的基础上,整合信息做可视化展示并提出一些结论。最后,基于之前章节的事实分析,奇安信威胁情报中心提出了从供应链安全角度对相应威胁进行防护的对策和建议。
03
软件供应链相关概念
01
概念和环节划分
传统的供应链概念是指商品到达消费者手中之前各相关者的连接或业务的衔接,从采购原材料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中的一个整体的供应链结构。
传统商品的供应链概念也完全适用于计算机软硬件,则可以衍生出软件供应链这一概念。出于简化分析的目的,我们将软件供应链简单抽象成如下几个环节:
1
开发环节
软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等,并且软件开发实施的具体过程还包括需求分析、设计、实现和测试等,软件产品在这一环节中形成最终用户可用的形态。
2
交付环节
用户通过在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。
3
使用环节
用户使用软件产品的整个生命周期,包括软件升级、维护等过程。
02
灰色供应链
在国内,众多的未授权的第三方下载站点、云服务、共享资源、破解盗版软件等共同组成了灰色软件供应链,这些环节的安全性问题其实也属于软件供应链攻击的范畴,但由于这些问题属于长期困扰我国信息系统安全的灰色供应链问题,具有一定的中国特色,故单独进行说明。
我们在接下来的事件分析中会有很多涉及到灰色供应链的案例,特别是软件交付环节中的“捆绑下载”等案例,以及各类破解、汉化软件被植入木马后门等,而这些案例也会被归属到我们定义的软件供应链攻击范畴中。
04
攻击场景与案例分析
前面定义了软件供应链的概念并抽象出了软件供应链的几大环节,那么显而易见的是,攻击者如果针对上述各个环节进行攻击,那么都有可能影响到最终的软件产品和整个使用场景的安全。从我们分析的多个现实攻击的案例来看,第三方库、开发工具、开发软硬件环境、到达用户的渠道、使用软硬件产品的过程等供应链相关的安全风险,并不低于针对软件应用本身、相应操作系统的安全漏洞导致的安全风险。
近年来我们观察到了大量基于软硬件供应链的攻击案例,比如针对Xshell源代码污染的攻击机理是攻击者直接修改了产品源代码并植入特洛伊木马;针对苹果公司的集成开发工具Xcode的攻击,则是通过影响编译环境间接攻击了产出的软件产品。这些攻击案例最终影响了数十万甚至上亿的软件产品用户,并可以造成比如盗取用户隐私、植入木马、盗取数字资产等危害。接下来我们将从划分出来各环节的角度,举例分析这些针对供应链攻击的重大安全事件。
01
开发环节
软件开发涉及到软硬件开发环境部署、开发工具、第三方库等的采购/原料供应、软件开发测试等等,各环节都可能被恶意攻击,在针对软件开发环境的攻击中就有开发机器被感染病毒木马、开发工具植入恶意代码、第三方库被污染等攻击方式。
而具体的软件开发更是一个复杂的过程,不单单是源码的编写,还涉及到诸如需求分析、开源/商业库使用、算法、外包开发等等复杂环节,其中的各个环节都有可能被攻击并造成严重后果。最近的Xshell后门代码植入事件就是最切实的例子,更早的事件还包括NSA联合RSA在加密算法中植入后门等,下面是我们整理的在开发环节针对开发环境以及软件开发过程进行工具污染、源代码攻击以及厂商预留后门等真实案例。
开发工具污染
针对开发工具进行攻击,影响最为广泛的莫过于XcodeGhost(Xcode非官方版本恶意代码污染事件),值得一提的是早在30多年前的1984年,UNIX创造者之一Ken Thompson在其ACM图灵奖的获奖演讲中发表了叫做Reflections on Trusting Trust(反思对信任的信任)的演讲。他分三步描述了如何构造一个非常难以被发现的编译器后门,后来被称为 the Ken Thompson Hack(KTH),这或许是已知最早的针对软件开发工具的攻击设想。而最近的XcodeGhost最多只能算是KTH的一个简化版本,没有试图隐藏自己,修改的不是编译器本身,而是Xcode附带的框架库。
针对Npm仓库ua-parser-js安装包的供应链攻击事件
事件名称 | 针对Npm仓库ua-parser-js安装包的供应链攻击事件 |
披露时间 | 2021年10月 |
事件描述 | 2021年10月22日,微步披露了一起针对Npm仓库ua-parser-js库的供应链攻击活动。攻击者通过劫持ua-parser-js官方账号,并且投放恶意ua-parser-js安装包,该软件包每周下载量超百万次,影响面颇广。 此次攻击涉及三个相关软件包版本,除针对Windows和Linux平台进行挖矿外,还会下载Danabot恶意木马窃密。该木马具有下载执行模块,执行shell命令,更新C2地址,屏幕截图,窃取浏览器、FTP等软件登录凭证等功能。确认目前受影响的软件包版本如下:
经分析,此次供应链攻击活动发生前,在NPM平台上已经出现多次同源安装包投毒攻击,且本次供应链攻击活动使用资产与近期Matanbuchus木马攻击活动存在重叠,背后可能是同一攻击团伙。 |
直接威胁 | 感染挖矿木马、窃密木马 |
影响范围 | ua-parser-js库的使用者 |
参考链接 | https://mp.weixin.qq.com/s/GruXpE5YHXwKa4FTYd5fTA |
PyPI代码库恶意软件包供应链攻击事件
事件名称 | PyPI代码库恶意软件包供应链攻击事件 |
披露时间 | 2021年7月 |
事件描述 | 2021年7月,Jfrog在其科技博客中报告在PyPI存储库中发现几个恶意代码包,根据pepy.tech的数据显示,相关恶意代码在从PyPI网站删除之前已被下载3万次。 PyPI是Python Package Index的缩写,是Python的官方第三方软件存储库,诸如pip之类的包管理器实用程序依赖它作为包及其依赖项的默认源。被发现的恶意代码包使用了Base64编码进行混淆,将恶意代码上传到官方存储库,使其可能被滥用成为更复杂威胁的入口点,攻击者能够在目标机器上执行远程代码、收集系统信息、截屏并上传到指定地址、掠夺Chrome和Edge浏览器中自动保存的信用卡信息和密码,甚至窃取Discord身份验证令牌以冒充受害者。据了解,PyPI、Github及其他公共代码存储库本身并不对代码内容进行审核,任何开发人员均可注册,并上传代码。这种机制类似于其他社交媒体平台,平台方并不对内容安全性负责。这将会导致依赖这些源(或镜像源)部署开发环境的软件开发者在无意中将恶意代码传播出去,从而构成典型的软件供应链攻击。 |
直接威胁 | 远程控制、用户信息收集、重要登录凭证被盗等 |
影响范围 | 相关恶意代码在从PyPI网站删除之前约有3万次下载 |
参考链接 | https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/ https://mp.weixin.qq.com/s/PMc8yjVdPtFy1b4RlWu9kg |
Winnti:针对亚洲游戏厂商的供应链攻击事件
事件名称 | Winnti:针对亚洲游戏厂商的供应链攻击事件 |
披露时间 | 2019年3月 |
事件描述 | 2019年3月,ESET披露了针对两个游戏和一个游戏平台的供应链攻击活动,在受影响的三个公司,都被植入了同一类后门。目前,其中两个产品已不受影响,而一个来自泰国开发商制作的游戏Infestation似乎仍然受影响。 经分析,Payload 代码在后门可执行文件执行前期启动,对 C Runtime 初始化的标准调用(__scrt_common_main_seh)进行劫持,在 用户代码之前就启动 Payload,这可能表明攻击者改变的是代码的编译环境而不是源代码本身。
植入的恶意代码主要具有以下功能:
|
直接威胁 | 用户信息搜集,远程控制 |
影响范围 | 受害者基本都位于亚洲,泰国受影响范围最广,受害者分布饼图如下:
|
参考链接 | https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/ |
CCleaner被植入后门代码事件
事件名称 | CCleaner被植入后门代码事件 |
披露时间 | 2017年9月 |
事件描述 | 2017年9月18日,Piriform 官方发布安全公告,公告称该公司开发的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被植入了恶意代码。被植入后门代码的软件版本被公开下载了一个月左右,导致百万级别的用户受到影响,泄露机器相关的敏感信息甚至极少数被执行了更多的恶意代码。 CCleaner是独立的软件工作室Piriform开发的系统优化和隐私保护工具,目前已经被防病毒厂商Avast收购,主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,它的另一大功能是清除使用者的上网记录。自从2004年2月发布以来,CCleaner的用户数目迅速增长而且很快成为使用量第一的系统垃圾清理及隐私保护软件。而正是这样一款隐私保护软件却被爆出在官方发布的版本中被植入恶意代码,且该恶意代码具备执行任意代码的功能。 根据奇安信威胁情报中心的分析,此次事件极有可能是攻击者入侵开发人员机器后污染开发环境中的CRT静态库函数造成的,后果即在该开发环境中开发的程序极有可能都被植入木马程序,而被植入了恶意代码的CCleaner版本主要具备如下恶意功能:
继Xshell被植入后门代码事件后,这是又一起严重的软件供应链攻击事件。 |
直接威胁 | 用户信息搜集,远程控制 |
影响范围 | 被植入后门代码的软件版本被公开下载了一个月左右,导致百万级别的用户受到影响,泄露机器相关的敏感信息甚至极少数被执行了更多的恶意代码。奇安信威胁情报中心根据C&C域名相关的访问数量评估,国内受感染用户在万级 |
参考链接 | https://ti.qianxin.com/blog/articles/in-depth-analysis-of-ccleaner-malware https://ti.qianxin.com/blog/articles/announcement-of-ccleaner-malware/ http://bobao.360.cn/learning/detail/4448.html |
PyPI第三方软件存储库被污染事件
事件名称 | PyPI第三方软件存储库被污染事件 |
披露时间 | 2017年9月 |
事件描述 | PyPI(Python Package Index)是Python官方的第三方软件存储库,所有人都可以下载第三方库或上传自己开发的库到PyPI,PyPI推荐使用pip包管理器来下载第三方库。 2017年9月,斯洛伐克国家安全局(NBU)在 PyPI(Python 的官方第三方软件存储库)中发现了十个恶意软件库。攻击者故意将软件包的名称拼写错误,使其看起来和真的一样,然后上传到 PyPI 中。例如使用“urlib”而不是“urllib”,这样类似的方式等。而PyPI存储库不执行任何类型的安全检查或审计,因此攻击者向其库上传新模块时并没有什么阻碍,但使用者稍不留神,就会将恶意库加载到其软件的安装脚本中。 目前发现恶意代码只收集受感染主机的信息,用户的用户名以及用户的计算机主机名,截止目前这些恶意软件库已经被全部下架。 下面是十个已被删除的恶意软件库的信息,可以看到假软件包上传的时间从6月一直持续的9月:
|
直接威胁 | 用户信息搜集 |
影响范围 | 安全研究人员测试上传20个恶意库,显示两天内被下载超过7000次,估计此次攻击事件中的10个恶意库被下载次数在十万级 |
参考链接 | http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/ |
Xcode非官方版本恶意代码污染事件
事件名称 | Xcode非官方版本恶意代码污染 |
披露时间 | 2015年9月 |
事件描述 | Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。 2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。 攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,它的初始传播途径主要是通过非官方下载的 Xcode 传播,通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多携带病毒的APP。 |
直接威胁 | 用户信息搜集,弹窗钓鱼,远程控制 |
影响范围 | 至少692种APP受污染,过亿用户受影响,受影响的包括了微信、滴滴、网易云音乐等著名应用。 |
参考链接 | http://bobao.360.cn/learning/detail/670.html http://www.antiy.com/response/xcodeghost.html |
源代码污染
软件产品如果在源代码级别被攻击者植入恶意代码将非常难以被发现,并且这些恶意代码在披上正规软件厂商的合法外衣后更能轻易躲过安全软件产品的检测,或许会长时间潜伏于用户机器中不被察觉,最近曝光的远程终端管理工具Xshell被植入后门代码则属于这类攻击中的经典案例。
折翼行动:全球第三大比特币矿机厂商遭遇供应链攻击事件
事件名称 | 折翼行动:全球第三大比特币矿机厂商遭遇供应链攻击事件 |
披露时间 | 2021年9月 |
事件描述 | 2021年9月26日,毒霸安全团队披露了一起疑似针对矿机厂商的供应链攻击事件。全球知名矿机品牌"翼比特"官网的矿机管理工具"EbiteMinerMini"被植入后门代码,通过多组"白利用"隐蔽装载CobaltStrike远控木马,随后下发键盘记录插件keylogger进行定向窃密。 攻击团伙从2021年4月份起就开始有针对性地进行攻击样本测试,真正的攻击行动于6月10日前后启动并迅速扩散,8月份处于潜伏静默期,随后开始加强活跃并保持至今。通过在目标程序“EbiteMinerMini.exe”入口植入后门下载线程启动代码,联网下载"白利用"payload和CobaltStrike内存马,随后通过stager推送CobaltStrike的后阶模块键盘记录插件"keylogger.dll"。攻击团伙目的显而易见,通过键盘记录窃取分析目标矿场管理主机的账号密码等敏感信息,进一步制定更具针对性的定向攻击方案,盗取BTC等虚拟货币资产。其主要行为流程如下图所示:
|
直接威胁 | 远程控制、键盘窃密、窃取虚拟货币 |
影响范围 | 2021年4月到9月之间使用矿机管理工具"EbiteMinerMini"的矿机用户 |
参考链接 | https://mp.weixin.qq.com/s/suQCrCGcbRL1eOaVvQquAg |
HTTP服务压测开源工具wrk供应链攻击事件
事件名称 | HTTP服务压测开源工具wrk供应链攻击事件 |
披露时间 | 2021年5月 |
事件描述 | 2021年5月31日,腾讯披露了利用知名开源HTTP服务压测开源工具wrk进行软件源投毒的供应链。 其官方仓库的安装指引页面被用户提交commit修改,添加第三方软件源引入了不可信的软件包。 经分析,问题出在第一条命令,这是一个添加软件源的操作。通过写入crontab配置文件,植入后门命令。在VT上完全免杀。
植入的恶意代码主要具有以下功能 通过curl请求获取指令并传递给Bash进行执行。 某个功能是下载并且安装了一个名为 fsstrim 的服务,而 fsstrim 是一个挖矿木马程序。 软件源网站上的安装包,仅能通过yum安装时,网站才会返回恶意程序。 |
直接威胁 | 任意命令执行,挖矿 |
影响范围 | Github上有近三万Star数量 |
参考链接 | https://security.tencent.com/index.php/blog/msg/192 |
流行网管软件厂商SolarWinds遭供应链攻击事件
事件名称 | 流行网管软件厂商SolarWinds遭供应链攻击事件 |
披露时间 | 2020年12月 |
事件描述 | SolarWinds主要从事生产销售网络和系统监测管理类的软件产品,为全球30万家客户服务,覆盖了政府、军事、教育等大量重要机构和超过9成的世界500强企业。 2020年12月13日,著名网络安全公司FireEye发布报告称,其发现了一个名为UNC2452(未分类的攻击团伙)的APT组织发起了一项全球性攻击活动。该组织通过入侵SolarWinds公司,篡改SolarWinds Orion商业软件包植入恶意代码,通过该公司的官方网站进行后门软件的分发。被植入的恶意代码包含信息收集、执行指定命令、读写删除文件等恶意功能,从而获取对受影响系统的控制。 奇安信红雨滴团队在第一时间跟进该事件,通过分析发现攻击者在生成DGA域名时会利用受害者所在域,红雨滴团队对其算法逆向分析后,率先公开了相关解码算法,确定了全球多个受害者。 |
直接威胁 | 用户信息搜集,远程控制 |
影响范围 | 2020年3月至2020年6月之间发布的SolarWinds®Orion®Platform(软件版本2019.4至2020.2.1)被植入后门,通过对DGA解码发现,全球至少有上百家企业受到影响。 |
参考链接 | https://mp.weixin.qq.com/s/ms7u5PtvU36M3aYbTo2F5A |
SignSight行动:针对东南亚认证机构的供应链攻击
事件名称 | SignSight行动:针对东南亚认证机构的供应链攻击 |
披露时间 | 2020年12月 |
事件描述 | 2020年12月,安全研究人员披露了一种针对越南政府证书颁发机构(VGCA)的新供应链攻击,该攻击破坏了该机构的数字签名工具包,在受害者系统上安装了后门。 攻击者在2020年7月23日至8月16日之间开展了攻击行动,其中涉及两个安装程序“gca01-client-v2-x32-8.3.msi”和“gca01-client-v2-x64-8.3”.msi”(适用于32位和64位Windows系统),已被篡改以包含后门。用户被感染的唯一途径是在官方网站上的受损软件被手动下载并在目标系统上执行。一旦安装完毕,修改后的软件就会启动真正的GCA程序来掩盖漏洞,然后运行PhantomNet后门,伪装成一个看似无害的名为“eToken.exe”的文件。PhantomNet后门负责收集系统信息,并通过从硬编码的命令和控制服务器(例如,命令和控制服务器)上获取的插件部署额外的恶意能力。
|
直接威胁 | 用户信息搜集,远程控制 |
影响范围 | 2020年8月到12月之间在ca.gov.vn下载过受感染程序的用户 |
参考链接 | https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/ |
利用NPM包管理工具的供应链投毒攻击
事件名称 | 利用NPM包管理工具的供应链投毒攻击 |
披露时间 | 2020年10月 |
事件描述 | 2020年10月15日,npm删除了四个被下载1000多次的恶意软件包,分别是Plutov-slack、Nodetest199、nodetest1010和npmpubman。被攻击者投递的四个恶意软件包中前三个软件包有着相同的代码片段,这些软件包一旦成功安装,代码则会建立攻击者服务器的反向shell,从而使得攻击者可以实现对受感染计算机的远程控制。最后一个软件包npmpubman的主要功能是收集受感染计算机的系统信息。 无独有偶,npm的供应链投毒攻击最早可追溯到2016年开始。近几年来不断有攻击者尝试通过npm、Pypi等包管理工具下发恶意软件。2019年6月,有攻击者向npm发布了一个“有用的”软件包,从软件包发布到恶意代码下发,攻击者花了几个月时间将其伪装成正常软件,等待它被目标使用。最后攻击者通过更新软件包的方式下发恶意代码盗取用户加密钱包种子以及登录密码。 |
直接威胁 | 受害者计算机被攻击者远控、重要登录凭证被盗、资产被盗等 |
影响范围 | 所有通过npm下载安装了上述软件包的用户 |
参考链接 | https://www.bleepingcomputer.com/news/security/npm-nukes-nodejs-malware-opening-windows-linux-reverse-shells/ https://blog.npmjs.org/post/185397814280/plot-to-steal-cryptocurrency-foiled-by-the-npm |
OSS供应链攻击:针对Github中JAVA项目的定向攻击
事件名称 | OSS供应链攻击:针对Github中JAVA项目的定向攻击 |
披露时间 | 2020年5月 |
事件描述 | 2020年3月,GitHub团队收到安全人员的消息称:有攻击者通过提交恶意代码至开源项目,并被其他开源项目所引用。这些存在恶意代码的开源项目被开发人员使用后,会在开发人员机器中寻找NetBeans IDE,如果开发人员的机器中存在该IDE,则对NetBeans构建的所有JAR文件进行感染,植入恶意软件加载器,以确保项目运行时会释放出一个远程管理工具(RAT)。 在整个攻击过程中,按照不同的功能分为多个模块:ocs.txt主要功能是释放第二阶段的攻击载荷到被感染的系统中。octopus.dat用于实现关键的感染功能,主要过程为:1.在系统对应目录下查找Netbeans项目信息,并在目录下查找项目属性文件,寻找感染目标;2.在项目属性文件中通过openProjectsURLs查找到目标项目路径,并通过对nbproject/build-impl.xml进行修改,提取资源文件下的第三阶段攻击载荷到nbproject/cache.dat,配合前面的挂钩操作进行感染。cache.dat则设置标记文件,防止被感染的项目重新构建。data.txt为最终的RAT工具。
除此之外,A2S还会利用当前用户名生成一个url,并释放一个附带url的class文件,按照与前面相同的方法设置class脚本自启动,之后将本机系统信息和用户名发送给服务端。 在这个class文件中,攻击者使用URLClassLoader加载URL并执行下载到的class文件的main方法。从这一点可以看出,攻击者有长期打算,以用户名相关信息注册不同对应域名,并为域名配置JAVA程序,达到在受害者系统中执行任意的JAVA程序,实现针对不同用户定制化攻击的目的。 |
直接威胁 | 对开源项目攻击植入恶意代码,对开发者开发的所有应用程序感染 |
影响范围 | 所有使用了在产品中引用了该GitHub代码的用户 |
参考链接 | https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain |
phpStudy供应链攻击
事件名称 | phpStudy供应链攻击 |
披露时间 | 2019年9月 |
事件描述 | phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。据专家组确认,专案组经过缜密侦查,周全布置,于2019年1月4日至5日,兵分四路,分别在海南陵水、四川成都、重庆、广东广州抓获马某、杨某、谭某、周某某等7名犯罪嫌疑人,现场缴获大量涉案物品,并在嫌疑人的电子设备中找到了直接的犯罪证据。据统计,截止抓获时间,犯罪嫌疑人共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。 奇安信威胁情报中心对此事件命名为phpStudyGhost,该事件可能构成2019年以来影响国内的最大供应链攻击事件。在对涉案存在后门的phpStudy版本进行分析后,并结合网上安全人员研究,发现模块php_xmlrpc.dll中存在执行额外代码模块, |
直接威胁 | 用户信息搜集,远程控制 |
影响范围 | 目前,官方发通告称,被篡改的软件版本为phpStudy2016版本中的php5.4版本,鉴于phpStudy在国内的流行性,受影响用户可能达百万级。 |
参考链接 | https://mp.weixin.qq.com/s/9kqvLPTwVktGmxrgyvUZZA |
针对StatCounter统计平台的供应链攻击事件
事件名称 | 针对StatCounter统计平台的供应链攻击事件 |
披露时间 | 2018年11月 |
事件描述 | 11月3日,攻击者攻破了网络分析平台StatCounter的服务器,修改了位于www.statcounter[.]com/counter/counter.js的脚本并添加了恶意代码。StatCounter提供网站统计分析服务,有超过200万个网站使用了它的服务,每月的页面浏览量超过100亿次。网站管理员只需在页面中引用counter.js便可以使用StatCounter的统计服务,因此这类攻击可以影响到所有使用到该服务的站点。 攻击者在counter.js文件的中间位置加入了恶意代码,首先检测用户当前访问的URL是否包含myaccount/withdraw/BTC。若满足条件,则向网页中添加元素以引用来自https://www.statconuter[.]com/c.php的脚本。c.php目的是窃取受害用户的比特币,它向比特币转账页面注入脚本,重定义了用户点击提交按钮后的操作,把转账的目标地址自动替换为攻击者所控制的账户,从而窃取受害者的比特币资产。 |
直接威胁 | 比特币被窃取 |
影响范围 | 在gate.io网站进行比特币转账的用户 |
参考链接 | https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/ |
Magecart:针对电子商务网站第三方库的供应链攻击事件
事件名称 | Magecart攻击组织针对信用卡信息的窃取行动 |
披露时间 | 2018年7月 |
事件描述 | 自2018年7月起,RiskIQ陆续披露了多起由Magecart发起的针对数字信用卡的窃取行动,受到影响的网站有Ticketmaster、British Airways、Newegg等,其中有两起事件与供应链攻击有关。 在针对Ticketmaster的攻击中,攻击者通过攻击网站所使用的第三方组件来窃取用户在支付页面中填写的信息。这类部署在第三方服务器上的组件被许多电子商务网站使用,据统计全球有800多个电子商务网站被影响,潜在受影响用户达百万以上。 在2018年9月开始的攻击中,Magecart攻击了一个为购物网站提供评级插件的第三方供应商Shopper Approved,它为上千个网站提供这类服务。不过由于攻击者只关注URL中有特殊关键词的页面,因此这次攻击事件影响范围有限。 2019年1月,趋势科技披露了Magecart的一次新攻击活动,Magecart将恶意Payload注入法国在线广告公司Adverline的第三方JavaScript库,目前已有277电子商务网站加载了恶意代码。 |
直接威胁 | 信用卡信息窃取 |
影响范围 | 上千个网站受到影响,潜在影响用户百万以上 |
参考链接 | https://www.riskiq.com/blog/labs/magecart-ticketmaster-breach/ https://security.ticketmaster.co.uk/ https://www.riskiq.com/blog/labs/magecart-shopper-approved/ https://blog.trendmicro.com/trendlabs-security-intelligence/new-magecart-attack-delivered-through-compromised-advertising-supply-chain/ |
Xshell backdoor
事件名称 | 远程终端管理工具Xshell被植入后门代码 |
披露时间 | 2017年8月14日 |
事件描述 | Xshell是NetSarang公司开发的安全终端模拟软件,2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。 事件时间线: 2017年8月7日 流行远程管理工具Xshell系列软件的厂商NetSarang发布了一个更新通告,声称在卡巴斯基的配合下发现并解决了一个在7月18日的发布版本的安全问题,提醒用户升级软件,其中没有提及任何技术细节和问题的实质,而且声称没有发现漏洞被利用。 2017年8月14日 奇安信威胁情报中心分析了Xshell Build 1322版本(此版本在国内被大量分发使用),发现并确认其中的nssock2.dll组件存在后门代码,恶意代码会收集主机信息往DGA的域名发送并存在其他更多的恶意功能代码。奇安信威胁情报中心发布了初始的分析报告,并对后续更复杂的恶意代码做进一步的挖掘分析,之后其他安全厂商也陆续确认了类似的发现。 2017年8月15日 卡巴斯基发布了相关的事件说明及技术分析,与奇安信威胁情报中心的分析完全一致,事件可以比较明确地认为是基于源码层次的恶意代码植入。非正常的网络行为导致相关的恶意代码被卡巴斯基发现并报告软件厂商,在8月7日NetSarang发布报告时事实上已经出现了恶意代码在用户处启动执行的情况。同日NetSarang更新了8月7日的公告,加入了卡巴斯基的事件分析链接,标记删除了没有发现问题被利用的说法。 从后门代码的分析来看,黑客极有可能入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。该后门代码可导致用户远程登录的信息泄露。 |
直接威胁 | 用户计算机中插入后门,窃取用户远程登录信息 |
影响范围 | 针对开发、运维人员,目前初步估计十万级别用户受影响 |
参考链接 | http://bobao.360.cn/learning/detail/4278.html https://securelist.com/shadowpad-in-corporate-networks/81432/ |
厂商预留后门
软件厂商在开发过程中出于方便测试或后续技术支持的考虑可能会预留一些超级管理员账户在软件产品中,而当软件正式发布时忘记删除或故意留下这些 “后门”,导致产品发布后被攻击者利用造成巨大危害,多个厂商的家庭路由设备都曝光过此类安全事件。
而某些厂商处于国家安全的需要,可能也会为国家安全部门预留一些“接口”,方便获取用户敏感数据,比如曝光的“棱镜门”。
Arris为AT&T家庭用户定制版调制解调器内置后门事件
事件名称 | Arris为AT&T家庭用户定制版调制解调器内置后门事件 |
披露时间 | 2017年8月 |
事件描述 | 2017年8月,安全研究人员发现知名电信设备制造商Arris生产的调制解调器存在5个安全漏洞,其中有3个是硬编码后门账号漏洞。攻击者利用三个后门账号均可控制设备,提升至ROOT权限、安装新固件,乃至于架设僵尸网络等。 以下为Nomotion发现漏洞的大致细节: 后门#1 调制解调器默认启用SSH并允许互联网连接,攻击者使用内置的默认账号密码“remotessh/5SaP9I26”访问,可以直接获得ROOT权限,执行任意操作。 后门#2 Arris调制解调器有个内置Web服务器,攻击者通过49955端口使用“tech/空”账号密码即可访问后台管理面板。 命令注入 该Web服务器还容易受到命令注入漏洞攻击,攻击者可以在Web服务器环境拿到Shell权限。 后门#3 攻击者可以使用账号密码“bdctest/bdctest”账号密码在61001端口访问设备,前提是需要知道设备的序列号。 防火墙绕过 攻击者在49152端口发送特定的HTTP请求,可绕过调试解调器内置防火墙并打开TCP代理连接,并继续利用之前的四个漏洞。 有问题的调制解调器型号为Arris NVG589、Arris NVG599,主要在美国宽带运营商AT&T的网络里使用,但在Arris官网找不到信息(停产产品?)。Nomotion研究人员推测,它们可能是专为AT&T家庭用户定制的入网设备。 |
直接威胁 | 可被攻击者直接登录获得root权限 |
影响范围 | 研究人员认为目前在线的易受漏洞攻击调制解调器至少有22万台 |
参考链接 |
惠普笔记本音频驱动内置键盘记录后门事件
事件名称 | 惠普笔记本音频驱动内置键盘记录后门事件 |
披露时间 | 2017年5月 |
事件描述 | 2017年5月,来自瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入。 按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商Conexant开发的音频芯片,该厂商还会为音频芯片开发驱动即Conexant高清音频驱动,有助于软件跟硬件通信。根据计算机机型的不同,惠普还将一些代码嵌入由Conexant开发的音频驱动中从而控制特殊键如键盘上的Media键。 研究人员指出,惠普的缺陷代码(CVE-2017-8360)实现不良,它不但会抓取特殊键,而且还会记录每次按键并将其存储在人类可读取的文件中。这个记录文件位于公用文件夹C:\Users\Public\MicTray.log中,包含很多敏感信息如用户登录数据和密码,其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。 2015年,这个按键记录功能以新的诊断功能身份在惠普音频驱动版本1.0.0.46中推出,并自此有近30款惠普计算机都内置有这种功能。 受影响的机型包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。 |
直接威胁 | 获取用户键盘输入记录 |
影响范围 | HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等数十款产品,很可能其它使用了Conexant硬件和驱动器的硬件厂商也受影响,实际受影响用户数未知(参考数据:惠普2016年笔记本市场份额20%,销量超千万) |
参考链接 | http://bobao.360.cn/news/detail/4159.html http://bobao.360.cn/learning/detail/3847.html |
家用路由器后门事件
事件名称 | 家用路由器后门事件 |
披露时间 | 近年 |
事件描述 | 各类家用路由器厂商在开发过程中忘记删除测试版本中的调试后门,也有部分厂商为了方便售后管理也会在路由器中预留各类超级后门。由于这类安全事件频繁发生,故我们将其统一归为一类,参考链接中列举了多起此类安全事件。 |
直接威胁 | 调试后门或者预留后门可被攻击者直接登录获得root权限 |
影响范围 | 各类家用路由器 |
参考链接 | http://bobao.360.cn/news/detail/1260.html http://0day5.com/archives/241/ |
Juniper VPN后门事件
事件名称 | Juniper VPN后门事件 |
披露时间 | 2015年12月 |
事件描述 | 2015年12月15日著名的网络设备厂商Juniper公司发出风险声明,其防火墙、VPN设备使用的操作系统具有重大安全风险,建议尽快升级相关版本。 声明中提及两个重大风险:1)设备的SSH登录系统在输入任意用户名的情况下,使用超级密码“<<< %s(un='%s') = %u”后就可以最高权限登录系统。2)设备的VPN安全通道上传递的数据可以被攻击人解密、篡改和注入。 |
直接威胁 | 设备的SSH登录系统在输入任意用户名的情况下,使用超级密码就可以最高权限登录系统,设备的VPN安全通道上传递的数据可以被攻击人解密、篡改和注入。 |
影响范围 | 全球上万NetScreen设备被攻击。 |
参考链接 | https://www.secpulse.com/archives/42059.html http://netsecurity.51cto.com/art/201512/502232.htm http://www.myibc.net/about-us/news/1627-juniper-vpn后门事件分析.html |
WormHole
事件名称 | WormHole |
披露时间 | 2015年11月 |
事件描述 | 2015年11月百度moplus SDK的一个被称为虫洞(Wormhole)的漏洞被漏洞报告平台wooyun.org所披露,研究人员发现Moplus SDK具有后门功能,但这不一定是由于漏洞或跟漏洞相关,之所以称之为漏洞是基于Moplus SDK的访问权限控制以及应该如何限制这种访问的角度。因此,它虽然具有漏洞相关的概念而实际上是一个后门程序,如推送钓鱼网页,插入任意联系人,发送伪造短信,上传本地文件到远程服务器,未经用户授权安装任意应用到Android设备。而执行这些行为唯一的要求是该设备首先需要连接互联网。由于Moplus SDK已经被集成到众多的Android应用程序中,这就意味着有上亿的Android用户受到了影响。研究结果还表明,已经有恶意软件在利用Moplus SDK的漏洞了。 此后门被报导后“一石激起千层浪”,它被植入到14000款app当中,这些app有接近4000个都是由百度出品的。 |
直接威胁 | 推送钓鱼网页,插入任意联系人,发送伪造短信,上传本地文件到远程服务器,未经用户授权安装任意应用到Android设备 |
影响范围 | 14000款app遭植入,安卓设备感染量未知 |
参考链接 | http://bobao.360.cn/learning/detail/2244.html https://www.secpulse.com/archives/40062.html |
iBackDoor
事件名称 | mobiSage广告库被植入后门代码 |
披露时间 | 2015年11月 |
事件描述 | 艾德思奇(adSage)是移动广告应用开发商。2015年11月FireEye的Zhaofeng等人发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中,并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制,这些广告库可以做到录音和截屏、上传GPS信息、增删改查app数据、读写app的钥匙链、发送数据到服务器、利用URL schemes打开其他app或者网页、安装企业应用等功能。 |
直接威胁 | 录音和截屏、上传GPS信息、增删改查app数据、读写app的钥匙链、发送数据到服务器、利用URL schemes打开其他app或者网页、安装企业应用。 |
影响范围 | 2,846个app包含后门库,苹果设备感染量未知。 |
参考链接 | https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html |
棱镜计划
事件名称 | 棱镜计划(PRISM) |
披露时间 | 2013年 |
事件描述 | 棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。 其中以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”,协助美国政府对世界各国实施大规模信息监控,随时获取各国最新动态。思科公司多款主流路由器产品被曝出在VPN隧道通讯和加密模块存在预置式“后门”,即技术人员在源码编写过程中已经将“后门”放置在产品中,利用“后门”可以获取密钥等核心敏感数据。 |
直接威胁 | 信息监控、获取敏感信息 |
影响范围 | 几乎涵盖所有接入互联网使用的人群 |
参考链接 | https://baike.baidu.com/item/棱镜门/6006333?fr=aladdin |
F5 BIG-IP内置SSH 私钥
事件名称 | F5 BIG-IP内置SSH私钥 |
披露时间 | 2012年6月 |
事件描述 | F5公司是应用交付网络(ADN)领域全球领导者.提供应用安全,数据中心防火墙,负载均衡,数据存储,广域网优化,虚拟化及云计算解决方案。 2012年6月,安全研究人员发现F5多个产品(F5 BIG-IP)存在一个未明配置错误,允许未身份验证的用户以“root”账户登录设备。问题原因是SSH private key对应的公钥内置于漏洞设备中,使得用户可以绕过验证直接登录F5设备。 受影响的产品和版本如下: BIG-IP LTM 版本9.x, 10.x和11.x BIG-IP GTM 版本 9.x, 10.x和11.x BIG-IP ASM 版本 9.x, 10.x和11.x BIG-IP Link Controller 版本 9.x, 10.x和11.x BIG-IP PSM 版本 9.x, 10.x和11.x BIG-IP WOM 版本 10.x and 11.x BIG-IP APM 版本 10.x and 11.x BIG-IP Edge Gateway 版本 10.x和11.x BIG-IP Analytics 版本 11.x Enterprise Manager 版本 1.x和2.x |
直接威胁 | 设备遭恶意用户绕过验证登录 |
影响范围 | 未知 |
参考链接 | https://www.trustmatta.com/advisories/MATTA-2012-002.txt https://www.trustmatta.com/advisories/matta-disclosure-policy-01.txt |
02
交付环节
软件从开发商到达用户手中的过程都属于软件交付环节,在互联网时代,这个过程主要是通过购买/共享存储介质、网络下载等方式实施。
而基于我国的“国情”,国内针对软件交付环节进行攻击的案例最为广泛,因为攻击成本最低,主要体现在软件捆绑下载安装这类攻击手法中,另外还有诸如下载劫持(域名劫持、城域网缓存毒化)、物流链劫持等攻击手法。
捆绑下载
我们已经提到过,众多的未授权的第三方下载站点、云服务、共享资源、破解版软件等共同组成了灰色软件供应链,而通过灰色软件供应链获取的软件极易被攻击者植入恶意代码,比如2012年初的汉化版Putty后门事件,因为非官方汉化后被植入后门木马导致大量系统管理员账号密码泄露引发重大安全威胁。
anandgovards黑产团伙利用Docker Hub镜像的供应链攻击事件
事件名称 | anandgovards黑产团伙利用Docker Hub镜像的供应链攻击事件 |
披露时间 | 2021年8月 |
事件描述 | 2021年8月,腾讯安全云鼎实验室通过对Docker Hub的镜像进行长期监控和安全态势分析,监测到一个较大的挖矿黑产团伙利用Docker Hub上传特制挖矿镜像,通过蠕虫病毒快速感染docker主机,入侵成功后,再自动下拉这些特制挖矿镜像到本地运行进行挖矿获利。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像,累计下载传播量达到342万,获取了不低于313.5个门罗币,获利高达54万多人民币。因其挖矿账户中包含了邮箱账号anandgovards,被腾讯称为anandgovards黑产团伙。其攻击的相关流程如下图所示:
|
直接威胁 | 挖矿 |
影响范围 | 恶意镜像累计下载量达342万,影响数量为百万级 |
参考链接 | https://mp.weixin.qq.com/s/PrDhq7uyd74dE8v05aaKFA |
WireX Android Botnet
事件名称 | WireX Android Botnet 污染 Google Play 应用市场事件 |
披露时间 | 2017年8月28日 |
事件描述 | 2017年8月17日,名为WireX Bot 点击排行 
2021最新 | 全国网络安全等级保护测评机构名单,共计207家
【建议收藏】全国网络安全等级保护测评机构及各省份名单最新版!国家网络安全等级保护工作协调小组办公室推... 
基于 RGC 框架提升风险意识和管控水平
陆续出台的网络安全相关法律法规和条例,包括《数据安全法》《关键信息基础设施安全保护条例》《个人信息保... 
关注 | 2021年上半年我国网络安全产业产融合作发展报告
报告阐述了2021年上半年我国网络安全领域非上市投融资总体情况及上市公司基本情况,预判未来发展趋势,分析... 
2021年第二季度|我国DDoS攻击资源季度分析报告
引言1 攻击资源定义本报告为2021年第2季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCER... 
深度:上半年全球网络空间发展态势
2021年上半年,在日益不稳定的全球网络安全格局中,大规模针对性网络行动大幅增加,数据泄露、勒索软件、安... 
中国网络安全百强报告(2021)
国内数字化产业第三方调研与咨询机构数世咨询于今日正式发布《中国网络安全百强报告(2021)》(以下简称百强... 
白皮书 | 电信和互联网行业数据安全治理白皮书(附全文)
白皮书聚焦行业数据安全治理,首先,对数据治理、数据安全治理的内涵,以及行业数据主要分类、典型应用、安... 
《中国网络安全产业分析报告(2021年)》全文发布
《中国网络安全产业分析报告(2021年)》(以下简称“报告”)由中国网络安全产业联盟(CCIA)发布,由数说安... |
发表评论