并不是全部的软件供应链攻击都是一样的。下列是攻击者现阶段根据第三方毁坏合理合法软件的常用方式。
软件供应链事情近期走上了头条新闻,引起了社会各界普遍关心。虽然这种安全事故拥有许多共同之处,但事实上,并不是全部的供应链攻击都是同样的。
“供应链攻击”这一统称包含了攻击者影响或挟持软件生产制造全过程(软件开发设计生命期),进而对制成品或服務的众多顾客导致不良干扰的其他状况。当软件搭建中应用的代码库或单独部件受到感染、软件升级二进制文件被木马病毒化、代码签名证书失窃,乃至代管软件即服务项目(SaaS)的网络服务器遭受毁坏时,都有可能会产生供应链攻击。
针对一切软件供应链攻击,攻击者都是会在上下游或中上游干预,将其故意主题活动以及不良影响向中下游散播给诸多客户。因而,与独立的网络安全问题对比,取得成功的供应链攻击通常经营规模更高,危害更长远。
下边为各位详细介绍现实世界中取得成功的软件供应链攻击主题活动常用的6种核心技术:
供应链攻击实例
1. 上下游网络服务器让步——Codecov攻击
针对大部分软件供应链攻击,攻击者会毁坏上下游网络服务器或编码储存库并引入故意负荷(例如,恶意程序行或木马病毒升级)。随后将该有效载荷向中下游分发送给诸多客户。殊不知,从工艺方面看来,状况并不是一直如此。
Codecov 供应链攻击就这样一个事例。虽然该事情与SolarWinds攻击存有共同之处,但2次攻击中间却存有显著差别。SolarWinds 供应链系统漏洞是专业技能非凡的危害个人行为者的“作品”,她们变更了正规的升级二进制文件 SolarWinds.Orion.Core.BusinessLayer.dll,其是SolarWinds IT特性监控产品Orion的一部分。
FireEye以前剖析过,仿冒DLL的RefreshInternal()方式中包括的恶意程序如下所示所显示。当 Orion 载入库存量管理工具软件时,此方式会启用根据 HTTP 的侧门:
含有故意RefreshInternal方式的侧门DLL版本号2019.4.5200.9083
殊不知,仅有当改动后的二进制文件向中下游散播至包含美国政府机构以内的 18,000 好几个 SolarWinds Orion 顾客时,SolarWinds 上下游攻击才算充分发挥了所有功效。
而在Codecov攻击实例中,沒有恶意程序派发到中下游,但却实实在在地形成了攻击不良影响。依据官方网安全性公示强调,网络黑客运用Codecov的Docker印象建立全过程中产生的不正确,不法得到了其Bash Uploader脚本制作的访问限制而且开展了改动,以搜集从用户的持续交付/持续交付 (CI/CD) 自然环境提交的系统变量:
虽然Codecov Bash Uploader 脚本制作在Codecov[.]io/bash 的 Codecov 网络服务器自身上存有(并再次存有),但数千个储存库早已偏向该连接,以将信息内容从其 CI/CD 自然环境上下游发送至此BashUploader。因而,恶意程序仅出现于(损伤的)上下游网络服务器上,而沒有产生一切中下游编码派发,由于所说的中下游储存库早已偏向代管 Bash Uploader 脚本制作的 Codecov 网络服务器。殊不知,这种中下游储存库也得到了本次攻击的危害,由于他们被配备为将数据信息上传入 Codecov 的 Bash Uploader:
事实上,据报道,Codecov 攻击者应用从损伤Bash Uploader处搜集的凭证毁坏了数千顾客互联网。近期开源代码专用工具和保险箱生产商HashiCorp也公布称,Codecov供应链攻击早已导致其GPG签字密匙被泄露。
2. 中上游让步以散播故意升级
专业术语“中上游”在这儿关键指攻击者毁坏正中间软件更新作用或 CI/CD专用工具并非初始上下游源码库的案例。2022年4月,很多《财富》500 强企业应用的Passwordstate公司密码管理软件的生产商Click Studios通告顾客称,攻击者毁坏了Passwordstate的更新体制,并运用它在客户的计算机上安装了一个故意文档。其文件夹名称为“moserware.secretsplitter.dll”,在其中一小部分如下所示所显示:
在安全性公示中,Click Studios表明,攻击不断了大概28钟头才被关掉。仅有在这里时间范围内实行一键更新的顾客才会遭到危害。而Passwordstate 的手动式更新不容易遭受危害。受影响的顾客登陆密码纪录很有可能已被搜集。
略见一斑地是,Passwordstate攻击事情后就发生了对于Click Studios 客户的钓鱼攻击攻击,攻击者在这种垂钓电子邮箱中置放了偏向升级的故意软件版本号的不法连接。
除开具有技术性因素(例如更新全过程被伪造)以外,这类供应链攻击还具有社会工程学要素。在一份尺寸超出300 MB的仿冒升级zip文件中,安全性科研工作人员发觉,攻击者已想方设法变更用户手册、帮助文档和PowerShell搭建脚本制作,以偏向其故意内容分发互联网(CDN)网络服务器:
表明故意CDN网络服务器为官方网的协助指南文本文档之一
包括故意CDN网络服务器连接的PowerShell安裝脚本制作
对于本次攻击的社会工程学方式还表明了另一项缺点:人们(尤其是初学者开发者或软件顾客)很有可能并不一直对内容分发互联网(CDN)连接维持质疑心态,无论这种连接是不是确实异常。这是由于一般来说,CDN是被软件应用软件和网址合理合法非以给予升级、脚本制作和别的內容的。
Magecart等线上银行信用卡盗取攻击便是该类供应链攻击的另一个事例。在一些攻击中,Amazon CloudFront CDN储存桶已被攻克,以将故意JavaScript编码派发到大量依靠该类CDN的平台当中。
3. 依靠项搞混(dependency confusion)攻击
2021年,谈及供应链攻击就免不了要提“依靠项搞混”,尤其是由于这类攻击的简单和自动化技术特性,使其日渐遭受攻击者的亲睐。归功于在好几个开源系统生态体系中发觉的原有设计方案缺点,依靠项搞混可以在攻击者端根据最少的勤奋乃至是机械自动化的形式充分发挥。
简单点来说,假如您的软件搭建应用私有化的、内部结构建立的依靠项,而该依赖项在公共性开源系统储存库文件不会有,那麼依靠项搞混(或类名搞混)便会起功效。攻击者可以在公共性储存库上以同样的名称注册具备更高一些版本信息的依靠项。随后,非常大的可能是,攻击者建立的具备更高一些版本信息的(公共性)依靠项——并非您的内部结构依靠项——将被拉进您的软件搭建中。
依靠项搞混攻击平面图
2022年2月,根据运用 PyPI、npm 和 RubyGems 等常见生态体系中的这一简易缺点,社会道德网络黑客 Alex Birsan 取得成功地侵入了35家大中型科技公司,并因此得到了超出130,000元的系统漏洞悬赏金奖赏。
在Birsan的科研成果公布几日后,不计其数的依靠项搞混效仿包逐渐涌进 PyPI、npm 和别的生态体系。尽管大部分效仿包都是由别的有远大抱负的系统漏洞阿卡丽所建立,可是依然不缺一些故意个人行为者的影子。
处理依靠项搞混的办法有很多,包含在攻击者以前提前在公共性储存库上申请注册全部(你的)私有化依靠项的名字;及其应用自动化技术解决方法,例如软件开发设计生命期(SDLC)服务器防火墙,以避免矛盾的依靠项名字进到您的供应链。
除此之外,开源系统储存库的使用者可以使用更严苛的检验全过程并执行类名/范畴定义。例如,假如要想在“CSO”类名、范畴下申请注册依靠项,那麼开源系统储存库可以先认证注册账号的开发者是不是有权利以“CSO”的为名那样做。
Java 部件储存库Maven Central选用简洁的根据域的检验方法来认证类名使用权——这类行为可以非常容易的被别的生态体系模型。
4. 失窃的SSL和代码签名证书
伴随着HTTPS网址的提升,SSL/TLS资格证书早已无所不在,它可以保障您的线上通讯。因而,SSL 资格证书公钥的泄漏很有可能会影响到端到端数据加密联接为终端用户给予的安全性通讯和确保。
2021年1月,Mimecast公布其顾客用以创建与Microsoft 365 Exchange服务项目联接的资格证书遭受毁坏,很有可能危害约10%的Mimecast客户的通讯。尽管Mimecast沒有确立确定其是不是为SSL证书,但正如一些科研工作人员所质疑的那般,在较大水平上状况好像的确如此。
尽管损坏的SSL证书存有危害,但失窃的代码签名证书(即损伤的公钥)会对软件安全性造成更普遍的危害。得到私有化代码签名密匙的攻击者很有可能会将它们的故意软件签字为由信誉度较好的企业供应的真正软件程序流程或升级。
虽然“震网”(Stuxnet)事情时迄今日依然是繁杂攻击的一个关键实例——在本次攻击中,攻击者应用了从俩家知名企业盗取的公钥将其恶意程序签字为“受信赖”——但该类攻击实际上早就在Stuxnet事情前就早已风靡,乃至在Stuxnet事情出现后多年的现在仍在风靡。这也表述了之前提及的Codecov供应链攻击中HashiCorp的GPG公钥泄漏事情之所以能够深受关心的缘故。尽管现在还没现象说明HashiCorp的泄漏密匙被攻击者乱用来签定恶意程序,但在泄漏的密匙被注销以前,这类事情的确有可能产生。
5. 对于开发人员的CI/CD基础设施建设
现如今,手机软件供应链管理攻击风靡,这种攻击不但取决于向客户的GitHub新项目引入故意拉取请求,还会继续乱用GitHub的CI/CD自动化技术基础设施建设GitHub Actions来发掘数字货币。GitHub Actions为开发者给予了一种为GitHub上代管的储存库分配自动化技术CI/CD每日任务的方式。
攻击方法主要包含攻击者复制应用GitHub Actions的合理合法GitHub储存库,略微变更储存库文件的GitHub Action 脚本制作,并向新项目使用者递交拉取请求以将此变更合拼回初始储存库。
攻击者 (edgarfox1982) 为合理合法新项目使用者递交拉取请求以合拼变更的编码
假如新项目使用者随便准许变更的拉取请求,那麼供应链管理攻击就会取得成功,并且不良影响远不止于此。故意拉取请求包括对 ci.yml 的改动,一旦攻击者递交拉取请求,GitHub Actions 就会自启动这种改动。修改后的编码本质上是乱用 GitHub 的云服务器来发掘数字货币。
这类攻击可谓是一举两得:它引诱开发者接纳故意拉取请求,假如不成功,它就会乱用目前的自动化技术CI/CD基础设施建设开展故意主题活动。
2021年1月,Sakura Samurai安全性员工在科学研究联合国组织系统漏洞公布方案范畴内的财产网络安全问题时,发觉了一个ilo.org子域名,该子域曝露了很多Git账户信息,促使它们可以取得成功侵入联合国组织(UN)域并浏览超出 100,000 份 联合国环境规划署(UNEP)工作员纪录。这种纪录包含名字、职工ID号、员工组、旅游原因、旅游的开始与结束日期、准许情况、停留的时间和终点。
更糟心的是,得到Git凭据访问限制的危害个人行为者不但可以复制私有化Git储存库,还将会在上下游引入恶意程序以开启供应链管理攻击,进而造成更明显的不良影响。
要想阻拦该类攻击,开发者必须贯彻安全性编号或在开发工具中应用DevSecOps 自动化技术专用工具。与此同时,维护 CI/CD 管路(例如 Jenkins 网络服务器)、云原生器皿及其额外开发者专用工具和基础设施建设如今也变的一样关键。
6. 应用社会工程学来引入恶意程序
一切安全性专业技术人员都了解,安全系数关键在于其最单薄的阶段。因为人为要素依然是最单薄的阶段,因而泄漏通常来源于最意想不到的地区。近期,明尼苏达大学的分析工作人员被踢出了 Linux 奉献人群,Linux 核心小区也撤回了她们以前递交的全部Linux核心编码,缘故就在于她们故意明确提出有缺陷的“补丁包”,而这种“补丁包”又会在 Linux 核心源码中引入系统漏洞。
虽然该事情被积极主动劝阻,但或是确认了一个结果:开发者遍布普遍,而且沒有非常的宽产生审批她们递交的每一个编码,这种编码可能是存有问题的或彻底是故意的。
更主要的是,社会工程学很有可能来源于最不会受到猜疑的由来——在以上例子中,具备“.edu”后缀名的电子邮箱地址就看起来来源于可靠的学校科研工作人员。
此外一个突显实例是,一切为GitHub新项目作出贡献的合作方都能够在公布后变更版本号。在这里必须注重,GitHub新项目使用者的期待是大部分推动者都能真心诚意递交编码到她们的新项目当中。但正可以说“一个耗子坏一火锅锅底”,只需一个合作方不规矩就会危害很多人的供应链管理安全性。
在过去的一年中,攻击者建立了域名抢注和知名品牌挟持包,一再对于开源系统开发者在其上下游搭建中引入恶意程序,随后散播给诸多顾客。
全部这种真实的世界的事例都展现了危害个人行为者在顺利的供应链管理攻击中所采取的不一样系统漏洞、攻击媒体和技术性。伴随着这种攻击飞速发展演变并产生挑戰,在考虑到手机软件安全系数时,务必列入大量创新性的解决办法和对策。
文中翻譯自:https://www.csoonline.com/article/3619065/6-most-common-types-of-software-supply-chain-attacks-explained.html?nsdr=true&page=2倘若转截,请标明全文详细地址。