近期，微軟在PDF軟件供應(yīng)商處發(fā)現(xiàn)了供應(yīng)鏈攻擊，黑客破壞了PDF編輯器應(yīng)用程序安裝的字體包，并用它在用戶的計算機(jī)上部署加密貨幣礦工。好在該廠商規(guī)模小，沒造成大的損失；但是使用軟件供應(yīng)鏈作為威脅載體的攻擊頻率不斷上升，同時越來越多地使用加密貨幣礦工作為惡意軟件活動貨幣化的主要手段。

      微軟員工稱他們調(diào)查了收到的警報，并確定黑客破壞了提供字體包作為MSI文件的軟件公司的云服務(wù)器基礎(chǔ)設(shè)施。這些MSI文件提供給其他軟件公司。其中一家下游公司正在將這些字體包用于其PDF編輯器應(yīng)用程序，該應(yīng)用程序?qū)⒃诰庉嬈鞯陌惭b例程中從原始公司的云服務(wù)器下載MSI文件。

      黑客創(chuàng)建了該公司云服務(wù)器的副本：

“攻擊者在攻擊者擁有和控制的副本服務(wù)器上重建了[第一家公司]的基礎(chǔ)設(shè)施。他們復(fù)制并托管所有MSI文件，包括所有清潔和數(shù)字簽名的字體包，在副本服務(wù)器中，攻擊者反編譯并修改了一個MSI文件，一個亞洲字體包，用貨幣挖掘代碼添加惡意有效載荷，使用未指定的弱點（似乎不是MITM或DNS劫持），攻擊者能夠影響[PDF編輯器]應(yīng)用程序使用的下載參數(shù)。參數(shù)包括指向攻擊者服務(wù)器的新下載鏈接， “

      下載并運(yùn)行PDF編輯器應(yīng)用程序的用戶將無意中從黑客的克隆服務(wù)器安裝字體軟件包，包括惡意軟件包。

攻擊原理

      惡意MSI文件作為一組字體包的一部分靜默安裝; 它與安裝期間應(yīng)用程序下載的其他合法MSI文件混合在一起。 所有MSI文件都是由同一家合法公司進(jìn)行清理和數(shù)字簽名的 - 除了一個惡意文件。 很明顯，下載和安裝鏈中的某些內(nèi)容在源頭被顛覆，這表明軟件供應(yīng)鏈?zhǔn)艿焦�擊�?/p>

      正如之前的供應(yīng)鏈?zhǔn)录�中所觀察到的那樣，將惡意代碼隱藏在安裝程序或更新程序中會使攻擊者立即獲益，即在計算機(jī)上擁有完全提升的權(quán)限（SYSTEM）。 這為惡意代碼提供了進(jìn)行系統(tǒng)更改的權(quán)限，例如將文件復(fù)制到系統(tǒng)文件夾，添加服務(wù)以及運(yùn)行貨幣挖掘代碼。

      攻擊者的目標(biāo)是在受害者機(jī)器上安裝加密貨幣礦工。 他們使用PDF編輯器應(yīng)用程序下載并傳遞惡意負(fù)載。 然而，為了破壞軟件分發(fā)鏈，他們瞄準(zhǔn)了應(yīng)用程序供應(yīng)商的軟件合作伙伴之一，該合作伙伴提供并托管了在應(yīng)用程序安裝期間下載的其他字體包。

      攻擊者利用他們在基礎(chǔ)設(shè)施中發(fā)現(xiàn)的弱點，想出了一種劫持MSI字體包安裝鏈的方法。 因此，即使應(yīng)用程序供應(yīng)商沒有受到損害并且完全沒有意識到這種情況，該應(yīng)用程序也成為惡意負(fù)載的意外載體，因為攻擊者能夠重定向下載。

      從較高層面來看，這是對多層攻擊的解釋：

1. 攻擊者在攻擊者擁有和控制的副本服務(wù)器上重新創(chuàng)建了軟件合作伙伴的基礎(chǔ)結(jié)構(gòu)。 他們復(fù)制并托管了副本服務(wù)器中的所有MSI文件，包括字體包，所有文件都是干凈的和經(jīng)過數(shù)字簽名的。
2. 攻擊者反編譯并修改了一個MSI文件，一個亞洲字體包，用貨幣挖掘代碼添加惡意有效載荷。 隨著此包被篡改，它不再受信任和簽名。
3. 使用未指定的弱點（似乎不是MITM或DNS劫持），攻擊者能夠影響應(yīng)用程序使用的下載參數(shù)。 參數(shù)包括指向攻擊者服務(wù)器的新下載鏈接。
4. 因此，在一段有限的時間內(nèi)，應(yīng)用程序用于下載MSI字體包的鏈接指向2015年在烏克蘭注冊商處注冊的域名，并指向托管在流行云平臺提供商上的服務(wù)器。 來自應(yīng)用程序供應(yīng)商的應(yīng)用程序安裝程序仍然合法且沒有受到損害，其次是劫持鏈接到攻擊者的副本服務(wù)器而不是軟件合作伙伴的服務(wù)器。

      當(dāng)攻擊處于活動狀態(tài)時，當(dāng)應(yīng)用程序在安裝期間與軟件合作伙伴的服務(wù)器聯(lián)系時，它會被重定向以從攻擊者的副本服務(wù)器下載惡意MSI字體包。 因此，下載并安裝該應(yīng)用程序的用戶最終也安裝了貨幣礦工惡意軟件。 在設(shè)備重啟后，惡意MSI文件被原始合法文件替換，因此受害者可能無法立即意識到發(fā)生了妥協(xié)。 此外，更新過程沒有受到損害，因此應(yīng)用程序可以正確更新自己。

供應(yīng)鏈中的供應(yīng)鏈攻擊

      由于PDF編輯器應(yīng)用程序是在SYSTEM權(quán)限下安裝的，因此隱藏在其中的惡意貨幣代碼將獲得對用戶系統(tǒng)的完全訪問權(quán)限。惡意礦工將創(chuàng)建自己的名為xbox-service.exe的進(jìn)程，根據(jù)該進(jìn)程，它將使用受害者的計算機(jī)挖掘加密貨幣。

      微軟稱Windows Defender ATP在此過程中檢測到特定于挖掘的行為。然后，調(diào)查人員將此過程的起源跟蹤到PDF編輯器應(yīng)用程序安裝程序和MSI字體包。

      安全研究人員表示很容易識別哪個MSI字體包是惡意的，因為所有其他MSI文件都是由原始軟件公司簽署的，除了一個文件，當(dāng)騙子注入其中的coinminer代碼時，該文件失去了真實性。

      這個惡意礦工也對調(diào)查人員表現(xiàn)出色，因為它也試圖修改Windows主機(jī)文件，因為他們試圖對各種安全應(yīng)用程序進(jìn)行更新操作。修改Windows主機(jī)文件是一個很大的禁忌，大多數(shù)防病毒軟件會將此操作標(biāo)記為可疑或惡意。

微軟沒有透露參與此事件的兩家軟件公司的名稱。操作系統(tǒng)制造商表示，妥協(xié)持續(xù)到2018年1月至3月，并且只影響了少數(shù)用戶，這表明黑客公司并不是PDF軟件市場的大牌。

軟件供應(yīng)鏈攻擊：一個不斷增長的行業(yè)問題

      雖然影響有限，但攻擊突出了兩個威脅趨勢：

（1）使用軟件供應(yīng)鏈作為威脅載體的攻擊頻率不斷上升；

（2）越來越多地使用加密貨幣礦工作為惡意軟件活動貨幣化的主要手段。

      這一新的供應(yīng)鏈?zhǔn)录�似乎并未涉及民族國家的攻擊者或�?fù)雜的對手，但似乎是由小型網(wǎng)絡(luò)犯罪分子發(fā)起的，他們試圖利用被劫持的計算資源從貨幣開采中獲利。 這證明軟件供應(yīng)鏈正在成為一個風(fēng)險領(lǐng)域，即使是普通的網(wǎng)絡(luò)犯罪分子也是首選。

      供應(yīng)鏈攻擊的日益普遍可能部分歸因于像Windows 10這樣的強(qiáng)化現(xiàn)代平臺以及瀏覽器漏洞等傳統(tǒng)感染媒介的消失。 攻擊者不斷尋找最薄弱的環(huán)節(jié); 由于零日攻擊變得太昂貴而無法購買或創(chuàng)建（漏洞利用工具包處于歷史最低點），攻擊者會尋找更便宜的替代入口點，如軟件供應(yīng)鏈妥協(xié)。 受益于軟件供應(yīng)商的不安全代碼實踐，不安全協(xié)議或不受保護(hù)的服務(wù)器基礎(chǔ)架構(gòu)，以促進(jìn)這些攻擊。

      對攻擊者的好處很明顯：供應(yīng)鏈可以提供潛在受害者的大量基礎(chǔ)，并可以帶來豐厚的回報。 人們觀察到它針對的是各種軟件，并影響著不同行業(yè)的組織。 這是一個行業(yè)范圍的問題，需要多個利益相關(guān)者的關(guān)注 - 編寫代碼的軟件開發(fā)人員和供應(yīng)商，管理軟件安裝的系統(tǒng)管理員，以及發(fā)現(xiàn)這些攻擊并創(chuàng)建解決方案以防止他們的信息安全社區(qū)等。

供應(yīng)鏈攻擊趨勢

相關(guān)鏈接：

https://www.rsaconference.com/events/us18/agenda/sessions/10149-the-unexpected-attack-vector-software-updaters

針對軟件供應(yīng)商和開發(fā)人員的建議

      軟件供應(yīng)商和開發(fā)人員需要確保他們生成安全且有用的軟件和服務(wù)。 為此，我們建議：

• 保持高度安全的構(gòu)建和更新基礎(chǔ)架構(gòu)。
  • 立即應(yīng)用OS和軟件的安全補(bǔ)丁。
  • 實施強(qiáng)制完整性控制以確保僅運(yùn)行受信任的工具。
  • 要求管理員進(jìn)行多重身份驗證。
• 構(gòu)建安全的軟件更新程序，作為軟件開發(fā)生命周期的一部分。
  • 要求SSL用于更新通道并實施證書固定。
  • 簽署所有內(nèi)容，包括配置文件，腳本，XML文件和包。
  • 檢查數(shù)字簽名，不要讓軟件更新程序接受通用輸入和命令。
• 為供應(yīng)鏈攻擊制定事件響應(yīng)流程。
  • 披露供應(yīng)鏈?zhǔn)录�，并通過準(zhǔn)確及時的信息通知客戶。

轉(zhuǎn)自：安全加

標(biāo)簽： dns ssl 安全 代碼 服務(wù)器 服務(wù)器安裝 腳本 漏洞 權(quán)限 網(wǎng)絡(luò) 信息安全 域名 云服務(wù) 云服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。