压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

“古老”的供應(yīng)鏈攻擊為何成為2020年業(yè)界公認(rèn)的六大新興威脅之一？除了華碩“影錘”、蘋果“Xcode”、CCleaner這些令人聞風(fēng)喪膽的切爾諾貝利和福島級別的供應(yīng)鏈攻擊以外，過去十年在數(shù)字（軟件）供應(yīng)鏈領(lǐng)域，我們還經(jīng)歷了哪些已經(jīng)發(fā)生，并且很可能依然在持續(xù)泄露或者“輻射”，值得我們反思和復(fù)盤，預(yù)防“毀滅性噴發(fā)”可能性的供應(yīng)鏈攻擊事件？

根據(jù)ESG和Crowstrike的2019年供應(yīng)鏈安全報(bào)告：

16％的公司購買了被做過手腳的IT設(shè)備。

90％的公司“沒有做好準(zhǔn)備”應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)攻擊。

在安全牛“供應(yīng)鏈安全五大數(shù)字風(fēng)險(xiǎn)”一文中，“企業(yè)或者供應(yīng)商軟件漏洞”和“被植入惡意軟件的軟硬件”占據(jù)了兩席，軟件（包括固件）供應(yīng)鏈正在成為黑客實(shí)施供應(yīng)鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點(diǎn)，打擊一片”，危害性極大，甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險(xiǎn)。

2015年9月14日，國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布預(yù)警通告，目前最流行的蘋果應(yīng)用程序編譯器XCODE被植入了惡意代碼（XcodeGhost）。超過一億部iOS移動終端受到影響，包括網(wǎng)易云音樂、微信等頭部APP悉數(shù)中招。

2017年6月末，NotPetya惡意軟件襲擊了全球59個(gè)國家的跨國企業(yè)，世界首屈一指的集裝箱貨運(yùn)公司馬士基航運(yùn)接單受阻，充分驗(yàn)證了供應(yīng)鏈面臨的巨大威脅。航運(yùn)訂單之前只能通過電話下單，馬士基航運(yùn)集團(tuán)剛剛引入數(shù)字化策略，攻擊便發(fā)生了。

2017年9月18日，思科Talos安全研究部曝光計(jì)算機(jī)清理工具CCleaner的更新被黑客嵌入后門，潛入數(shù)百萬個(gè)人電腦系統(tǒng)中。該攻擊摧毀了消費(fèi)者對CCleaner開發(fā)者Avast的基本信任，其他軟件公司也受牽連，消費(fèi)者信任下滑。因?yàn)閻阂廛浖故抢壍胶戏ㄜ浖蟹职l(fā)的，而且還是安全公司出品的合法軟件。

19年年初，卡巴斯基報(bào)告了影錘行動（ShadowHammer），披露這是一起利用華碩升級服務(wù)的供應(yīng)鏈攻擊，不計(jì)其數(shù)的用戶在使用該軟件更新時(shí)可能會安裝植入后門程序的軟件更新包。

根據(jù)埃森哲2019年的一項(xiàng)調(diào)查，受訪的4600家企業(yè)中40%曾因供應(yīng)商遭受網(wǎng)絡(luò)攻擊而發(fā)生數(shù)據(jù)泄露，大量企業(yè)報(bào)告直接攻擊減少的同時(shí)，通過供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢。19年2月，賽門鐵克發(fā)布報(bào)告顯示，過去一年全球供應(yīng)鏈攻擊爆增78%，并特別強(qiáng)調(diào)2019年全球范圍內(nèi)供應(yīng)鏈攻擊活動仍在繼續(xù)擴(kuò)大。

近年來，供應(yīng)鏈攻擊的常態(tài)化已經(jīng)是APT攻擊的重大趨勢，以下是過去二十年最具破壞力的技術(shù)（軟件）供應(yīng)鏈攻擊：

軟件供應(yīng)鏈入侵一覽表（SIG安全小組）

雖不能記錄每個(gè)已知供應(yīng)鏈攻擊，但捕捉了各種不同類型軟件供應(yīng)鏈攻擊案例。編撰此表可幫助安全人員更好地理解供應(yīng)鏈入侵的模式，開發(fā)出最佳實(shí)踐與工具。

名稱	年份	入侵類型
Purescript-npm	2019	源代碼入侵
Electron原生通知	2019	源代碼入侵
ShadowHammer	2019	多步驟
PEAR漏洞	2019	發(fā)布平臺
Dofoil	2018	發(fā)布平臺
Operation Red	2018	發(fā)布平臺
Gentoo事件	2018	源代碼入侵
未知PDF生成器	2018	發(fā)布平臺
Colourama	2018	TypoSquat
Foxif/CCleaner	2017	發(fā)布平臺
HandBrake	2017	發(fā)布平臺
Kingslayer	2017	發(fā)布平臺
HackTask	2017	錯(cuò)字搶注(TypoSquat)
Shadowpad	2017	后門
NotPetya	2017	多步驟
Bitcoin Gold	2017	源代碼入侵
ExpensiveWall	2017	后門SDK
OS X Elmedia播放器	2017	發(fā)布平臺
keydnap	2016	發(fā)布平臺
Fosshub被黑事件	2016	發(fā)布平臺
Linux Mint	2016	發(fā)布平臺
Juniper安全事件	2015	源代碼入侵
XCodeGhost	2015	虛假工具鏈
Ceph和Inktank	2015	構(gòu)建、源代碼和發(fā)布平臺
Code Spaces	2014	源代碼入侵
Monju安全事件	2014	發(fā)布平臺
Operation Aurora	2010	水坑攻擊
ProFTPD	2010	源代碼存儲庫
gentoo rsync漏洞	2003	源代碼存儲庫

 

Purescript nmp安裝程序依賴項(xiàng)惡意代碼

惡意代碼已插入purescript npm安裝程序的依賴項(xiàng)中。該代碼已插入到load-from-cwd-or-npm和rate-map包中。

影響

帶有后門的第一版于2019年5月7日21:00UTC發(fā)布。2019年7月9日世界標(biāo)準(zhǔn)時(shí)間01:00發(fā)布了不包含后門程序的更新版本。NPM官方下載統(tǒng)計(jì)數(shù)據(jù)表明，這些軟件包每周下載約1400次。

入侵類型

攻擊者已經(jīng)獲得了軟件包維護(hù)者的npm帳戶的訪問權(quán)限。

Electron原生通知

Agama加密貨幣錢包用戶成為惡意軟件攻擊對象，npm公司安全團(tuán)隊(duì)與Comodo合作，護(hù)住當(dāng)時(shí)價(jià)值1,300萬美元的加密貨幣資產(chǎn)。

該攻擊專注往Agama構(gòu)建鏈中植入惡意軟件包，盜取錢包種子和該應(yīng)用中使用的其他登錄密碼。

影響

Agama加密貨幣錢包用戶損失資金。損失總數(shù)未知，但若npm/Comodo沒能早點(diǎn)兒發(fā)現(xiàn)的話，有可能高達(dá)1,300萬美元。

入侵類型

攻擊者似乎是盜取了一名流行軟件包開發(fā)者的憑證。也有可能該軟件包的開發(fā)者故意將此軟件包做成“有用軟件包”，以便混入攻擊載荷。

ShadowHammer

華碩公司更新服務(wù)器被黑，向華碩用戶分發(fā)華碩實(shí)時(shí)更新實(shí)用程序(ASUS Live Update Utility)應(yīng)用的簽名后門版。此應(yīng)用程序?yàn)槿A碩制造的Windows計(jì)算機(jī)上預(yù)裝軟件，用于交付BIOS/UEFI固件、硬件驅(qū)動和其他華碩工具的更新。

影響

超一百萬用戶可能下載并安裝了此應(yīng)用程序的后門植入版。卡巴斯基的一份報(bào)告顯示，卡巴斯基用戶中超5.7萬安裝了被植入后門的華碩實(shí)時(shí)更新實(shí)用程序。有趣的是，該攻擊的第二階段部署在至少6,000臺特定系統(tǒng)中。用于接收第二階段攻擊載荷的MAC地址是硬編碼的。

入侵類型

看起來，攻擊者至少可以訪問此更新基礎(chǔ)設(shè)施和代碼簽名密鑰。

PEAR漏洞

PHP庫的分發(fā)系統(tǒng)PHP擴(kuò)展與應(yīng)用程序存儲庫(PEAR)服務(wù)器被黑，原始PHP PEAR包管理器(go-pear.phar)被替換成了修改版。

影響

6個(gè)月窗口期內(nèi)從pear.php.net下載PEAR安裝文件加以安裝的用戶有可能遭到感染。由于很多Web托管服務(wù)允許用戶安裝運(yùn)行PEAR，該攻擊也可能影響大量網(wǎng)站及其訪客。

入侵類型

攻擊者似乎攻陷了此發(fā)布平臺。由于不涉及代碼簽名，攻擊者無需盜取任何密鑰，僅僅染指此基礎(chǔ)設(shè)施即可。

Dofoil

攻擊者入侵了名為MediaGet的流行BitTorrent客戶端更新服務(wù)器，以簽名后門程序傳播惡意加密貨幣挖礦機(jī)。

影響

此攻擊可能成功染指了俄羅斯、土耳其和烏克蘭的40多萬臺PC。

入侵類型

攻擊者似乎入侵了此發(fā)布平臺，還能入手該軟件包的簽名密鑰。

Operation Red

攻擊者入侵了遠(yuǎn)程支持解決方案供應(yīng)商的更新服務(wù)器，向位于韓國的目標(biāo)企業(yè)投送惡意更新包。此惡意更新包經(jīng)由該遠(yuǎn)程解決方案供應(yīng)商的被盜有效證書簽名。

攻擊者首先侵入該更新服務(wù)器，然后將服務(wù)器配置成僅向位于目標(biāo)企業(yè)IP地址范圍內(nèi)的客戶端分發(fā)惡意文件。

影響

不適用

入侵類型

攻擊者似乎入侵了該發(fā)布平臺，并且可以訪問更新包的簽名密鑰。

Gentoo事件

攻擊者獲取了GitHub Gentoo控制權(quán)，清楚了開發(fā)者對Gentoo代碼庫的訪問權(quán)，修改了庫中內(nèi)容及頁面。

影響

不適用

入侵類型

攻擊者似乎黑掉了該源代碼庫，但拿不到開發(fā)者密鑰。

未知PDF生成器

攻擊者攻陷了一款PDF編輯器安裝的字體包，以之在用戶計(jì)算機(jī)上部署加密貨幣挖礦機(jī)。由于此PDF編輯器是在SYSTEM權(quán)限下安裝的，隱藏在字體包中的惡意加密貨幣挖礦機(jī)可接收受害者系統(tǒng)的完整訪問權(quán)。

影響

在2018年1月至3月間安裝了此PDF編輯器的用戶可能遭受影響。

入侵類型

這是向開發(fā)者投放的假冒工具包。

Colourama

Colourama采用打錯(cuò)字搶注的方法注冊與Colorama形似的軟件包。Colorama是PyPI中日下載量達(dá)百萬級的20大流行合法模塊之一。Colourama軟件包包含針對Windows系統(tǒng)的惡意軟件，實(shí)現(xiàn)加密貨幣剪貼板劫持功能，能夠?qū)⒈忍貛胖Ц稄氖芎φ咧鳈C(jī)轉(zhuǎn)移至攻擊者的比特幣地址。

影響

Colourama早在2017年12月初就注冊了。目前尚不清楚自那以后此惡意包被下載了多少次。媒體Medium報(bào)道稱，2018年10月的下載次數(shù)是55次。

入侵類型

錯(cuò)字搶注攻擊無需入侵任何基礎(chǔ)設(shè)施。

Foxif/CCleaner

受感染的CCleaner會在真正的CCleaner安裝前先安裝一個(gè)惡意軟件。被植入惡意軟件的CCleaner是用有效證書簽名的，且通過合法CCleaner下載服務(wù)器分發(fā)給用戶。

鑒于受感染版本CCleaner經(jīng)由有效簽名簽發(fā)，造成這種情況有幾種可能性。可能是開發(fā)、構(gòu)建或打包步驟的簽名過程被破壞，也可能哪一步的產(chǎn)品簽發(fā)前遭到了惡意注入。

影響

由于CCleaner截止2016年11月時(shí)擁有20億下載量，每周新增用戶數(shù)近500萬，感染影響可能非常嚴(yán)重。

入侵類型

攻擊者可能是通過入侵版本控制系統(tǒng)、打包過程或發(fā)布平臺完成感染。最后一步可能需盜取簽發(fā)官方CCleaner發(fā)行版的簽名密鑰。

HandBrake

HandBrake是Mac系統(tǒng)流行視頻轉(zhuǎn)換器，其下載服務(wù)器之一上被替換成了惡意版本。下載安裝了惡意版本的受害者會被攻擊者獲取系統(tǒng)管理員權(quán)限。

影響

不適用

入侵類型

攻擊者似乎攻陷了此發(fā)布平臺。由于不涉及代碼簽名，攻擊者無需盜取任何密鑰，僅僅染指此基礎(chǔ)設(shè)施即可。

Kingslayer

攻擊者可能入侵了應(yīng)用（系統(tǒng)管理員用來分析Windows日志的）的下載服務(wù)器，將合法應(yīng)用和更新替換成了經(jīng)簽名的惡意版本。

影響

使用Alpha免費(fèi)版軟件（被黑版）的組織包括：

• 4家主流電信供應(yīng)商
• 10+西方軍事機(jī)構(gòu)
• 24+財(cái)富500公司
• 5家主流國防承包商
• 36+主流IT產(chǎn)品制造商或解決方案提供商
• 24+西方政府機(jī)構(gòu)
• 24+銀行和金融機(jī)構(gòu)
• 45+高等教育機(jī)構(gòu)

入侵類型

攻擊者攫取了此發(fā)布平臺（如下載服務(wù)器）和打包程序簽名密鑰的權(quán)限。

HackTask

HackTask用錯(cuò)字搶注的方法注冊與npm流行庫名字類似的軟件包。攻擊者以此盜取開發(fā)者的憑證。

影響

npm庫中發(fā)現(xiàn)38個(gè)假冒JS軟件包。這些軟件包在入侵事件發(fā)生的兩周時(shí)間內(nèi)被下載了至少700次。

入侵類型

錯(cuò)字搶注攻擊無需入侵任何基礎(chǔ)設(shè)施。

Shadowpad

黑客向Netsarang分發(fā)的服務(wù)器管理軟件產(chǎn)品中植入了后門程序，該產(chǎn)品已被全球數(shù)百家大型企業(yè)使用。激活后門后，攻擊者可以下載其他惡意模塊或竊取數(shù)據(jù)。“Shadowpad”是規(guī)模和實(shí)際影響最大的供應(yīng)鏈攻擊之一。

影響

黑客滲透了數(shù)百家銀行、能源企業(yè)和醫(yī)藥公司。

入侵類型

應(yīng)用后門植入。

NotPetya

NotPetya侵入軟件基礎(chǔ)設(shè)施，篡改補(bǔ)丁代碼。該惡意軟件感染了烏克蘭會計(jì)軟件MeDoc的更新服務(wù)器。攻擊者以之向MeDoc應(yīng)用植入后門，投送勒索軟件和盜取憑證。由于掌控了更新服務(wù)器，攻擊者能夠在被感染主機(jī)上更新惡意軟件。

值得注意的是，攻擊者似乎擁有MeDoc源代碼的訪問權(quán)，否則他們應(yīng)該不可能植入此類隱藏后門。

影響

不適用

入侵類型

攻擊者似乎能夠入侵MeDoc的軟件發(fā)布平臺、更新服務(wù)器和版本控制系統(tǒng)，甚至可能入手了更新包簽名密鑰。

Bitcoin Gold

獲取到GitHub存儲庫權(quán)限的攻擊者植入了帶后門的比特幣錢包。因此，沒下載官方版而下載了受感染版本的用戶，如果用此惡意軟件創(chuàng)建新錢包，可能會丟失他們的私鑰。

影響

4.5天窗口期內(nèi)下載了被黑錢包的用戶可能面臨私鑰被盜風(fēng)險(xiǎn)。

入侵類型

攻擊者似乎獲取了版本控制系統(tǒng)權(quán)限，但不能以開發(fā)者名義簽名。

ExpensiveWall

注入免費(fèi)Android應(yīng)用（壁紙）中的惡意軟件，可替受害者秘密注冊付費(fèi)服務(wù)。應(yīng)用中的惡意代碼源自Android開發(fā)者使用的被黑軟件開發(fā)包(SDK)。注意，ExpensiveWall使用了混淆方法隱藏惡意代碼，可繞過殺毒軟件防護(hù)。

影響

至少5,904,511臺設(shè)備受影響，而據(jù)此技術(shù)報(bào)告，最多可達(dá)21,101,567臺設(shè)備受影響。

入侵類型

攻擊者能夠入侵開發(fā)者主機(jī)的工具鏈，在生成的應(yīng)用中植入后門。可據(jù)此判斷，開發(fā)者密鑰應(yīng)該是被盜取了。

Elmedia播放器

攻擊者入侵Eltima的下載服務(wù)器，然后分發(fā)兩款應(yīng)用程序，F(xiàn)olx和Elmedia播放器，均帶有惡意軟件。

影響

該攻擊可能影響數(shù)百名用戶。

入侵類型

攻擊者入侵Elmedia播放器和Folx軟件供應(yīng)商Eltima的發(fā)布平臺。

Keydnap

流客戶端Transmission的下載服務(wù)器，被黑后上傳了該客戶端的惡意版本。此軟件的惡意副本似乎采用了被盜蘋果開發(fā)者的合法證書簽名。

影響

不適用

入侵類型

影響發(fā)布平臺，利用開發(fā)者證書（與Transmission無關(guān)人員的）簽名，呈現(xiàn)貌似合法的安裝過程。

Fosshub被黑事件

黑客入侵了流行文件托管服務(wù)FOSSHub，將多個(gè)應(yīng)用的合法安裝程序替換成了惡意副本。

注意：有些軟件項(xiàng)目，比如Classic Shell、qBittorrent、Audacity、MKVToolNix等，將FOSSHub用作主要文件下載服務(wù)。

影響

2016年8月第一周從FOSSHub下載安裝Classic Shell和Audacity軟件包的用戶。

入侵類型

攻擊者入侵了此發(fā)布平臺。

被黑Linux Mint

Linux Mint位列最受歡迎Linux操作系統(tǒng)探花位置，其網(wǎng)站遭攻擊者入侵，用戶被導(dǎo)引至后門植入版Linux Mint的惡意下載鏈接。

影響

2016年2月20日，數(shù)百名用戶下載了內(nèi)含后門的Linux Mint。

入侵類型

攻擊者入侵了此發(fā)布平臺，但沒拿到開發(fā)者密鑰。

Juniper安全事件

Juniper攻擊通過在Juniper NetScreen VPN路由器操作系統(tǒng)中插入惡意代碼實(shí)現(xiàn)。此未授權(quán)代碼可啟用遠(yuǎn)程管理員權(quán)限，允許被動VPN流量解密。第一個(gè)漏洞利用通過在SSH密碼檢查器中植入后門實(shí)現(xiàn)，第二個(gè)漏洞則濫用了偽隨機(jī)數(shù)據(jù)生成器。

影響

不適用

入侵類型

攻擊者似乎獲取了源代碼托管基礎(chǔ)設(shè)施的訪問權(quán)，但沒拿到開發(fā)者密鑰。

XCodeGhost

攻擊者可分發(fā)iOS開發(fā)者所用開發(fā)者工具的偽造版。iOS應(yīng)用開發(fā)者使用的Xcode開發(fā)工具遭黑客篡改，往應(yīng)用商店中的各類應(yīng)用注入惡意代碼，試圖通過被感染的應(yīng)用釣取密碼和URL。

影響

至少350個(gè)應(yīng)用被感染，包括影響數(shù)億用戶的微信。

入侵類型

這是向開發(fā)者投放的假冒工具包。

Ceph和Inktank

RedHat服務(wù)器上的惡意應(yīng)用程序，經(jīng)Ceph基礎(chǔ)設(shè)施及其公眾版Inktank上的被盜密鑰簽名。

影響

目前影響未知，也沒有明確的入侵跡象。

入侵類型

開發(fā)平臺Ceph及其GPG簽名密鑰被黑。其面向公眾的組件Inktank也沒能逃過黑客的魔爪。

Code Spaces安全事件

Code Spaces是一項(xiàng)基于云的服務(wù)，提供項(xiàng)目管理和代碼存儲庫功能，被黑后很多代碼庫、備份均被攻擊者刪除。

影響

不適用

入侵類型

攻擊者似乎獲取了此源代碼托管基礎(chǔ)設(shè)施的訪問權(quán)，但沒拿到開發(fā)者密鑰。

Monju安全事件

攻擊者破壞了GOM Player播放器的分發(fā)服務(wù)器，向用戶交付此軟件的惡意版。用戶連接該應(yīng)用網(wǎng)站更新已安裝軟件時(shí)，會被重定向到攻擊者控制下的另一個(gè)網(wǎng)站。最終，用戶會收到捆綁了木馬的篡改版播放器安裝文件。

影響

該攻擊影響了日本“文殊”快中子增殖反應(yīng)堆設(shè)施中的機(jī)器。但不清楚嘗試更新其GOM Player軟件的其他機(jī)器是否受到了感染。

入侵類型

攻擊者可以訪問此發(fā)布平臺，但并未簽署所交付的軟件產(chǎn)品。

Operation Aurora

黑客染指了谷歌、Adobe等多家公司的軟件配置管理系統(tǒng)(SCM)。他們得以盜取源代碼或在很多產(chǎn)品的源代碼中做出隱蔽篡改。

此SCM由名為Perforce的一家公司開發(fā)，具備一些已知漏洞（安全公司邁克菲檢測到的）。攻擊者很有可能利用這些安全漏洞獲取了系統(tǒng)的未授權(quán)訪問。

影響

受影響公司超34家，包括賽門鐵克、諾斯羅普格魯曼、摩根斯坦利、陶氏化學(xué)公司、雅虎、Rackspace、Adobe和谷歌。

入侵類型

攻擊者可入侵公司所用不同工具，針對它們的版本控制系統(tǒng)、滲漏源代碼和敏感數(shù)據(jù)。

ProFTPD黑客事件

開源項(xiàng)目ProFTPD源代碼存儲庫服務(wù)器被黑，未知黑客在源代碼中植入了后門。

影響

不適用

入侵類型

攻擊者似乎黑掉了該源代碼庫，但拿不到開發(fā)者密鑰。

Gentoo rsync事件

攻擊者使用遠(yuǎn)程漏洞利用入侵托管有Gentoo副本的一臺rsync.gentoo.org機(jī)器，植入rootkit。

影響

不適用

入侵類型

攻擊者破壞了此源代碼存儲庫的文件系統(tǒng)，極可能向用戶提供了惡意軟件包。