0 摘要
2020年12月13日,全球最著名的網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門。該攻擊直接導致使用了SolarWinds Orion管理軟件某些版本的企業客戶全部受到影響:可任由攻擊者完全操控。同時,SolarWinds在其官網發布安全通告稱,受影響的產品為2020年3月至2020年6月間發布的2019.4到2020.2.1版本的SolarWinds Orion管理軟件,并表示約有18000名客戶下載使用了受影響的軟件產品,但攻擊者并未對所有使用者采取進一步的攻擊行動,而僅選擇感興趣的目標開展后續攻擊。雖然該攻擊只針對特定的目標用戶,但攻擊者通過更新用于判斷是否進一步實施攻擊的“目標名單”,則可以攻擊幾乎所有受影響用戶,導致用戶計算機被攻擊者完全控制。這類來源于供應鏈并最終造成巨大危害的安全事件其實并不少見,在本報告中,奇安信威脅情報中心對軟件供應鏈的概念進行了梳理,分析了各環節中已有的事件實例,最后提供一些從供應鏈安全角度對威脅進行防護的對策和建議。
1 概述
北美時間2020年12月13日,多家歐美媒體報道美國多個重要政企機構遭受了國家級APT組織的入侵,攻擊疑似由于網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門導致。奇安信威脅情報中心第一時間通過解碼部分DGA域名,推導出部分受害者計算機域,從而發現大量中招的知名企業和機構,其中不乏Intel、Cisco等在美高科技企業以及各類高校和政企單位。2019年3月25日,華碩(ASUS)升級服務程序被暴植入了后門代碼,導致大量使用該品牌計算機的用戶受到影響。2019年3月初,ESET披露了針對兩款游戲軟件和一個游戲平臺的供應鏈攻擊活動,受影響的三個公司都被植入了同一類后門。同時,近年來大量的使用軟件捆綁進行傳播的黑產活動也被揭露出來,從影響面來看這些惡意活動的力度頗為驚人,這類來源于供應鏈并最終造成巨大危害的安全事件其實并不少見,而我們所感知的可能只是冰山一角而已。
以最近這些事件為切入點,奇安信威脅情報中心對軟件供應鏈來源的攻擊做了大量的案例分析,得到了一些結論并提供對策建議。在本報告中,奇安信威脅情報中心首先對軟件供應鏈的概念進行了梳理,劃分了開發、交付及使用環節。然后針對每個環節,以實例列舉的方式分析了相應環節中目前已經看到過的攻擊向量,同時提供了每個事件的發生時間、描述、直接威脅和影響范圍等信息。在這些案例分析的基礎上,整合信息做可視化展示并提出一些結論。最后,基于之前章節的事實分析,奇安信威脅情報中心提出了從供應鏈安全角度對相應威脅進行防護的對策和建議。
1、軟件供應鏈相關概念
概念和環節劃分
傳統的供應鏈概念是指商品到達消費者手中之前各相關者的連接或業務的銜接,從采購原材料開始,制成中間產品以及最終產品,最后由銷售網絡把產品送到消費者手中的一個整體的供應鏈結構。
傳統商品的供應鏈概念也完全適用于計算機軟硬件,則可以衍生出軟件供應鏈這一概念。出于簡化分析的目的,我們將軟件供應鏈簡單抽象成如下幾個環節:
開發環節
軟件開發涉及到的軟硬件開發環境、開發工具、第三方庫、軟件開發實施等等,并且軟件開發實施的具體過程還包括需求分析、設計、實現和測試等,軟件產品在這一環節中形成最終用戶可用的形態。
交付環節
用戶通過在線商店、免費網絡下載、購買軟件安裝光盤等存儲介質、資源共享等方式獲取到所需軟件產品的過程。
使用環節
用戶使用軟件產品的整個生命周期,包括軟件升級、維護等過程。
灰色供應鏈
在國內,眾多的未授權的第三方下載站點、云服務、共享資源、破解盜版軟件等共同組成了灰色軟件供應鏈,這些環節的安全性問題其實也屬于軟件供應鏈攻擊的范疇,但由于這些問題屬于長期困擾我國信息系統安全的灰色供應鏈問題,具有一定的中國特色,故單獨進行說明。
我們在接下來的事件分析中會有很多涉及到灰色供應鏈的案例,特別是軟件交付環節中的“捆綁下載”等案例,以及各類破解、漢化軟件被植入木馬后門等,而這些案例也會被歸屬到我們定義的軟件供應鏈攻擊范疇中。
2、攻擊場景與案例分析
前面定義了軟件供應鏈的概念并抽象出了軟件供應鏈的幾大環節,那么顯而易見的是,攻擊者如果針對上述各個環節進行攻擊,那么都有可能影響到最終的軟件產品和整個使用場景的安全。從我們分析的多個現實攻擊的案例來看,第三方庫、開發工具、開發軟硬件環境、到達用戶的渠道、使用軟硬件產品的過程等供應鏈相關的安全風險,并不低于針對軟件應用本身、相應操作系統的安全漏洞導致的安全風險。
近年來我們觀察到了大量基于軟硬件供應鏈的攻擊案例,比如針對Xshell源代碼污染的攻擊機理是攻擊者直接修改了產品源代碼并植入特洛伊木馬;針對蘋果公司的集成開發工具Xcode的攻擊,則是通過影響編譯環境間接攻擊了產出的軟件產品。這些攻擊案例最終影響了數十萬甚至上億的軟件產品用戶,并可以造成比如盜取用戶隱私、植入木馬、盜取數字資產等危害。接下來我們將從劃分出來各環節的角度,舉例分析這些針對供應鏈攻擊的重大安全事件。
開發環節
軟件開發涉及到軟硬件開發環境部署、開發工具、第三方庫等的采購/原料供應、軟件開發測試等等,各環節都可能被惡意攻擊,在針對軟件開發環境的攻擊中就有開發機器被感染病毒木馬、開發工具植入惡意代碼、第三方庫被污染等攻擊方式。
而具體的軟件開發更是一個復雜的過程,不單單是源碼的編寫,還涉及到諸如需求分析、開源/商業庫使用、算法、外包開發等等復雜環節,其中的各個環節都有可能被攻擊并造成嚴重后果。最近的Xshell后門代碼植入事件就是最切實的例子,更早的事件還包括NSA聯合RSA在加密算法中植入后門等,下面是我們整理的在開發環節針對開發環境以及軟件開發過程進行工具污染、源代碼攻擊以及廠商預留后門等真實案例。
開發工具污染
針對開發工具進行攻擊,影響最為廣泛的莫過于XcodeGhost(Xcode非官方版本惡意代碼污染事件),值得一提的是早在30多年前的1984年,UNIX創造者之一Ken Thompson在其ACM圖靈獎的獲獎演講中發表了叫做Reflections on Trusting Trust(反思對信任的信任)的演講。他分三步描述了如何構造一個非常難以被發現的編譯器后門,后來被稱為 the Ken Thompson Hack(KTH),這或許是已知最早的針對軟件開發工具的攻擊設想。而最近的XcodeGhost最多只能算是KTH的一個簡化版本,沒有試圖隱藏自己,修改的不是編譯器本身,而是Xcode附帶的框架庫。
Winnti:針對亞洲游戲廠商的供應鏈攻擊事件
源代碼污染
軟件產品如果在源代碼級別被攻擊者植入惡意代碼將非常難以被發現,并且這些惡意代碼在披上正規軟件廠商的合法外衣后更能輕易躲過安全軟件產品的檢測,或許會長時間潛伏于用戶機器中不被察覺,最近曝光的遠程終端管理工具Xshell被植入后門代碼則屬于這類攻擊中的經典案例。
流行網管軟件廠商SolarWinds遭供應鏈攻擊事件
廠商預留后門
軟件廠商在開發過程中出于方便測試或后續技術支持的考慮可能會預留一些超級管理員賬戶在軟件產品中,而當軟件正式發布時忘記刪除或故意留下這些“后門”,導致產品發布后被攻擊者利用造成巨大危害,多個廠商的家庭路由設備都曝光過此類安全事件。
而某些廠商處于國家安全的需要,可能也會為國家安全部門預留一些“接口”,方便獲取用戶敏感數據,比如曝光的“棱鏡門”。
棱鏡計劃
交付環節
軟件從開發商到達用戶手中的過程都屬于軟件交付環節,在互聯網時代,這個過程主要是通過購買/共享存儲介質、網絡下載等方式實施。
而基于我國的“國情”,國內針對軟件交付環節進行攻擊的案例最為廣泛,因為攻擊成本最低,主要體現在軟件捆綁下載安裝這類攻擊手法中,另外還有諸如下載劫持(域名劫持、城域網緩存毒化)、物流鏈劫持等攻擊手法。
捆綁下載
我們已經提到過,眾多的未授權的第三方下載站點、云服務、共享資源、破解版軟件等共同組成了灰色軟件供應鏈,而通過灰色軟件供應鏈獲取的軟件極易被攻擊者植入惡意代碼,比如2012年初的漢化版Putty后門事件,因為非官方漢化后被植入后門木馬導致大量系統管理員賬號密碼泄露引發重大安全威脅。
不僅灰色供應鏈中獲取的軟件極易被植入惡意代碼,就連某些正規的下載站、應用市場,由于審核不嚴等因素也被攻擊者植入過含有惡意代碼的“正規”軟件,比如WireX Android Botnet 污染 Google Play 應用市場事件。我們將所有這類針對用戶獲取軟件產品的源頭進行惡意代碼植入的攻擊統稱為“捆綁下載”。
WireX Android Botnet
下載劫持
軟件從各種網絡渠道下載過程中也可能受到攻擊,比如被捆綁惡意軟件、篡改、劫持下載的域名等,以下列舉一些實際的攻擊方式:
域名劫持
攻擊者通過劫持下載站點的域名,使得用戶訪問到攻擊者指定的下載站點下載惡意軟件,而用戶卻全然不知,比如2010年百度域名劫持事件。
CDN污染、P2P緩存毒化
攻擊者通過CDN污染、P2P緩存毒化等方式,使得用戶在使用某些下載軟件提供的緩存加速功能時下載到攻擊者事先毒化后的文件塊,而前面提到的“Xcode非官方版本惡意代碼污染”事件所涉及的軟件版本就有通過被P2P緩存毒化后植入非官方版本的可能。
參考鏈接:
http://weibo.com/3802345927/CBAPoj5IR
http://weibo.com/1401527553/AaPhvCON9
http://blog.csdn.net/u011354613/article/details/52025387
物流鏈劫持
在軟硬件交付環節中,針對物流鏈層面的攻擊也有不少相關案例,攻擊者可能通過替換、植入、修改等方式在軟硬件產品送達消費者之前的整個物流環節中進行攻擊。
常見的攻擊方式有:軟硬件產品代理生產環節攻擊(生產安裝光盤等存儲介質時植入木馬)、運輸環節對產品進行掉包替換等等,下面是相關案例介紹。
“方程式”組織硬盤固件程序攻擊
卡巴斯基安全實驗室在2015年2月16日起發布系列報告披露了一個可能是目前世界上存在的最復雜的網絡攻擊組織:“方程式”組織(Equation Group)。
該組織擁有一套用于植入惡意代碼的超級信息武器庫(在卡巴的報告中披露了其中6個),其中包括兩個可以對數十種常見品牌的硬盤固件重編程的惡意模塊,這可能是該組織掌握的最具特色的攻擊武器,同時也是首個已知的能夠感染硬盤固件的惡意代碼。
而通過相關安全公司分析的結論我們可以推論,在此次硬盤固件程序攻擊事件中可以做到如此有針對性(特定目標、行業),部分攻擊方式極有可能屬于物流鏈劫持,即在特定目標采購、返修主機或硬盤的過程中修改了硬盤固件。
使用環節
軟硬件產品抵達消費者手中后則屬于軟件使用環節,而用戶在使用過程中,除了產品本身的安全缺陷造成的威脅以外,還可能遭受使用環境等帶來的威脅,針對使用環節常見的攻擊方式主要有軟件升級劫持等。
升級劫持
軟件產品在整個生命周期中幾乎都要對自身進行更新,常見的有功能更新升級、修復軟件產品BUG等等。攻擊者可以通過劫持軟件更新的“渠道”,比如通過預先植入用戶機器的病毒木馬重定向更新下載鏈接、運營商劫持重定向更新下載鏈接、軟件產品更新模塊在下載過程中被劫持替換(未校驗)等等方式對軟件升級過程進行劫持進而植入惡意代碼。下面是相關案例:
Lazarus組織利用WIZVERA VeraPort軟件的供應鏈攻擊活動
NotPetya
2 綜合分析
1、事件信息展示圖
奇安信威脅情報中心對以上供應鏈相關的實際案例根據其涉及環節、事件披露年份和影響面的大小形成了如下圖示,使讀者對這些事件有個比較直觀的對比:
2、主要發現與結論
我們將近年來所有重大的針對軟件供應鏈攻擊的安全事件的多個屬性進行梳理,配合上一節中的時序圖可以發現,針對供應鏈攻擊的安全事件在影響面、嚴重程度上都絕不低于傳統的針對產品本身、操作系統的漏洞攻擊,我們從以下幾個維度總結軟件供應鏈攻擊的現狀:
從事件數量上看:大量的軟件捆綁、流氓推廣等針對供應鏈下游(交付環節)攻擊的安全事件占據了供應鏈攻擊的大頭,受影響用戶數多在百萬級別,并且層出不窮,而這幾類針對供應鏈的攻擊可能事實上比流行漏洞導致的安全事件還要多。蠕蟲級別的漏洞(MS08-067、MS17-10等)所導致的大規模的安全事件已經很少了,IOT類設備的安全問題導致的大規模Botnet構建活動在近期卻非常活躍,但前兩者的影響其實還遠沒有來自供應鏈的大。
從影響面上看:由于基于軟件捆綁進行流氓推廣的供應鏈攻擊大多采用了白簽名繞過查殺體系的機制,其行為也介于黑白之間,因此從影響用戶數來說遠超一般的漏洞利用類攻擊。而類似于XcodeGhost這類污染開發工具針對軟件供應鏈上游(開發環境)進行攻擊的安全事件雖然數量上不及針對交付環節的攻擊,但攻擊一旦成功,卻可能影響上億用戶。所以,從整體上說供應鏈安全事件影響的用戶數遠比一般的漏洞影響還要大。
從場景/環節上看:從上節的圖中我們可以看到,大部分針對供應鏈攻擊的安全事件主要集中在供應鏈下游(交付環節),這個環節出現最多的就是軟件捆綁一類的攻擊,而在開發環境/開發環節進行攻擊的事件卻偏少,不過這類攻擊一旦發生則更為隱蔽,影響更為深遠,并且發生在這一環節的攻擊多屬于國家行為。
從趨勢上看:針對供應鏈各環節被揭露出來的攻擊在近幾年都呈上升趨勢,在趨于更加復雜化的互聯網環境下,軟件供應鏈所暴露給攻擊者的攻擊面越來越多,并且越來越多的攻擊者也發現針對供應鏈的攻擊相對針對產品本身的漏洞攻擊可能更加容易,成本更低。
3 對策建議
在針對軟件供應鏈攻擊的整個場景中,主要涉及三類責任主體:
最終用戶
軟硬件廠商
安全廠商
其中最終用戶和軟硬件廠商實際上組成了整個應用場景,而安全廠商需要對應用生態提供安全相關的支持。基于這三類主體的不同需求和責任,奇安信威脅情報中心分別提供如下的建議:
1、最終用戶
在軟硬件供應鏈中最終用戶基本涉及交付和使用環節,我們建議最終用戶注意以下幾點:
盡可能使用正版和官方渠道輸出的軟件。上面的分析可以看到軟件捆綁惡意代碼是供應鏈攻擊的最主要渠道,除了極少數的特例(如Xshell后門代碼事件),如果完全使用正版軟件可以抵抗絕大部分供應鏈攻擊。使用搜索引擎搜索下載軟件注意辨別下載鏈接是否是官方鏈接,如果是第三方下載站則需要注意是否為常用下載站,并點擊正確的下載鏈接。下載使用各類非官方、盜版、破解以及來源不明的軟件需要非常謹慎,使用奇安信天擎一類的防病毒木馬、流氓軟件的工具進行掃描以盡可能降低風險,如果有條件盡量使用虛擬機運行此類軟件。對于企業用戶,如果有資源,軟硬件上線使用前委托有能力的測評機構進行安全性評估,盡可能發現可能存在的安全隱患。
安裝防病毒軟件,打開實時防護,設置自動病毒庫更新。盡管現在安全業界一股唱衰傳統病毒防護方案的風氣,然而我們不得不面對的現實是作為終端上最主要的一道防線其作用依然不可取代,特別是基于云安全架構的解決方案可以非常有效地應對已知的大規模威脅,比如WannaCry和Petya這類勒索蠕蟲。
企業用戶需要建設態勢感知,完善資產管理及持續監控能力,并積極引入威脅情報。對于企業用戶,由于保存了大量高價值數據并集成了強大的處理能力,一旦基于供應鏈的攻擊得逞可能導致敏感信息的泄露和關鍵系統非授權受控,相應的業務和聲譽損失遠超個人用戶。
盡管必須努力阻止供應鏈攻擊的進入,但過往的安全實踐也已經證明基于單點防御的銀彈思維是失敗的。基于某些環節必然被突破的假設,組織機構需要建立自己的縱深防御和持續監控機制,處理發現的異常,挖掘值得深入調查的事件。對組織自身的軟硬件信息資產情況有完備的跟蹤,當有供應鏈相關的威脅情報被通報時,組織就可以根據當前資產的匹配情況立即定位到受影響的資產加以處置,這時,如果有強大的集中管理工具則可以成百倍地提升處置效率,減少暴露在威脅下的時間把損失降低到最小程度。Xshell后門代碼事件中,如果受影響的組織訂閱了相關的情報,則有可能快速采取補救措施。并且這時如果組織內有奇安信天擎這樣的集中化的終端管控工具,就可以快速了解哪些終端使用著有后門的Xshell工具,批量化地進行軟件升級并對受影響的終端做進一步的處理。
遵循權限最小化原則縮減攻擊面,這也同樣基于供應鏈的開發和交付環節必然被突破的假設。假設組織所使用的交換機路由器存在廠商有意無意植入的后門賬號或安全漏洞,那么就會提醒我們至少需要保證其接口的訪問來源是盡可能受限的,最低限度要防止資產直接暴露在互聯網上而又不對訪問來源IP進行限制,這樣即使系統存在后門或漏洞也無法被大多數人利用。進行防御性的訪問權限配置,縮小攻擊面事實上是應對未知威脅最有效的方法論,但它對IT系統的管理能力提出了很高的要求,真正做到并不容易。
2、軟硬件廠商
XshellGhost、棱鏡門等真實案例證明了軟件開發交付環節被攻擊后的巨大危害,故軟件開發及交付環節的安全防范至關重要,我們建議軟件廠商在軟件開發交付環節盡可能做到:
建立可信的開發環境,這包括可控可信任的軟硬件環境,諸如正規渠道購買、下載的軟硬件,可信的第三方開源/商業庫、算法等,采購安全可信的軟件外包服務。關注所用組件的安全通告,如被揭露出嚴重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時升級相關的組件。
培養開發人員的安全意識,在開發過程的各個環節建立檢查點把安全性的評估作為一個必要評審項。開發環節嚴格遵守開發規范,防止類似調試后門等安全威脅的產生。開發完成的軟硬件發布前交給獨立的內部或外部測評組織進行安全性評估,及時解決所發現的問題。
在正規渠道發布軟件,提供給用戶可以驗證安裝包是否正確的數據,比如軟件包的校驗和信息。軟件安裝時校驗自身的完整性,升級更新自身時校驗下載回來安裝包的簽名,保證不運行被劫持的升級包。
3、安全廠商
長期以來安全廠商大多以軟硬件、操作系統本身的漏洞為中心提供產品和服務的解決方案,針對供應鏈環節的安全問題似乎并沒有投入足夠的關注。通過上述對軟件供應鏈各環節的重大安全事件分析可以看到,軟件開發、交付、使用等環節都存在巨大的安全威脅,其導致的危害并不低于安全漏洞所導致的情況,因此僅關注軟件及操作系統本身的安全威脅是遠遠不夠的。所以,安全廠商需要從完整的軟件供應鏈角度形成全景的安全視野,才能解決更多縱深的安全風險。基于最終用戶和軟硬件廠商的需求,安全廠商可以加強如下幾點:
提升發現軟硬件產品中安全問題的能力,不僅限于通常意義上的安全漏洞,需要拓展到后門及默認內置賬號類的隱藏訪問機制的發現,及時輸出相應的威脅情報協助廠商和最終用戶消除威脅。8月中的Xshell后門代碼事件中,奇安信威脅情報中心在國內最早確認了軟件中后門的存在并發布了相關的通告,輸出了可以幫助用戶定位受影響系統的IOC,真正開始驅動事件響應。
提供創新型的產品和服務,為用戶實現全面細致的態勢感知,提供有效的資產管理和持續監控工具,并提供威脅情報能力幫助用戶完成安全事件的快速檢測和響應。揭示企業IT環境中安全相關的異常情況,給組織內安全團隊提供值得調查分析的精準事件線索,發現可能的未知攻擊。如Xshell后門事件,安全廠商先通過非正常域名的訪問流量定位到相關的終端,最終在機器上找到發出相應網絡請求的惡意代碼。