吉安信息网

ipfs算力网(www.ipfs8.vip):解读6 种最常见的软件供应链攻击类型

来源:吉安信息港 发布时间:2021-06-08 浏览次数:


并非所有的软件供应链攻击都是一样的。以下是攻击者现在通过第三方损坏正当软件的习用方式。

软件供应链事宜最近登上了新闻头条,引发了各界普遍关注。只管这些平安事宜有着诸多相似之处,但事实上,并非所有的供应链攻击都是相同的。

“供应链攻击”这一总称涵盖了攻击者滋扰或挟制软件制造历程(软件开发生命周期),从而对制品或服务的诸多消费者造成晦气影响的任何情形。当软件构建中使用的代码库或单个组件受到熏染、软件更新二进制文件被木马化、代码署名证书被盗,甚至托管软件即服务(SaaS)的服务器遭到损坏时,都可能会发生供应链攻击。

对于任何软件供应链攻击,攻击者都市在上游或中游介入,将其恶意流动及厥结果向下游流传给众多用户。因此,与伶仃的平安破绽相比,乐成的供应链攻击往往规模更大,影响更深远。

下面为人人先容现实天下中乐成的软件供应链攻击流动习用的6种要害手艺:

供应链攻击示例

1. 上游服务器妥协——Codecov攻击

对于大多数软件供应链攻击,攻击者会损坏上游服务器或代码存储库并注入恶意负载(例如,恶意代码行或木马更新)。然后将该有用载荷向下游分发给众多用户。然而,从手艺角度来看,情形并非总是云云。

Codecov 供应链攻击就是这样一个例子。只管该事宜与SolarWinds攻击存在相似之处,但两次攻击之间却存在显著差异。SolarWinds 供应链破绽是手艺卓越的威胁行为者的“杰作”,他们更改了正当的更新二进制文件 SolarWinds.Orion.Core.BusinessLayer.dll,其是SolarWinds IT性能监控产物Orion的一部门。

FireEye之前剖析过,冒充DLL的RefreshInternal()方式中包罗的恶意代码如下所示。当 Orion 加载库存治理器插件时,此方式会挪用基于 HTTP 的后门:

 

带有恶意RefreshInternal方式的后门DLL版本2019.4.5200.9083

然而,只有当修改后的二进制文件向下游流传至包罗美国政府机构在内的 18,000 多个 SolarWinds Orion 客户时,SolarWinds 上游攻击才算施展了所有作用。

而在Codecov攻击案例中,没有恶意代码分发到下游,但却切切实实地发生了攻击结果。凭证官方平安通告指出,黑客行使Codecov的Docker映像确立历程中泛起的错误,非法获得了其Bash Uploader剧本的接见权限而且举行了修改,以网络从客户的连续集成/连续交付 (CI/CD) 环境上传的环境变量:

 

只管Codecov Bash Uploader 剧本在Codecov[.]io/bash 的 Codecov 服务器自己上存在(并继续存在),但数千个存储库已经指向该链接,以将信息从其 CI/CD 环境上游发送到此BashUploader。因此,恶意代码仅存在于(受损的)上游服务器上,而没有发生任何下游代码分发,由于所谓的下游存储库已经指向托管 Bash Uploader 剧本的 Codecov 服务器。然而,这些下游存储库也受到了此次攻击的影响,由于它们被设置为将数据上传到 Codecov 的 Bash Uploader:

 

事实上,据报道,Codecov 攻击者使用从受损Bash Uploader处网络的凭证损坏了数百个客户网络。最近开源程序工具和保险柜制造商HashiCorp也披露称,Codecov供应链攻击已经致使其GPG署名密钥被泄露。

2. 中游妥协以流传恶意更新

术语“中游”在这里主要指攻击者损坏中央软件升级功效或 CI/CD工具而非原始上游源代码库的实例。今年4月,许多《财富》500 强公司使用的Passwordstate企业密码治理器的制造商Click Studios通知客户称,攻击者损坏了Passwordstate的升级机制,并行使它在用户的盘算机上安装了一个恶意文件。其文件名为“moserware.secretsplitter.dll”,其中一小部门如下所示:

在平安通告中,Click Studios示意,攻击连续了约莫28小时才被关闭。只有在此时间段内执行一键升级的客户才会受到影响。而Passwordstate 的手动升级不会受到损害。受影响的客户密码纪录可能已被网络。

不出所料地是,Passwordstate攻击事宜后就发生了针对Click Studios 用户的网络钓鱼攻击,攻击者在这些钓鱼电子邮件中放置了指向更新的恶意软件版本的非法链接。

除了具备手艺要素(例如升级历程被改动)之外,这种供应链攻击还具备社会工程学因素。在一份巨细跨越300 MB的伪造更新zip文件中,平安研究职员发现,攻击者已想法更改用户手册、辅助文件和PowerShell构建剧本,以指向其恶意内容分发网络(CDN)服务器:

 

说明恶意CDN服务器为官方的辅助手册文档之一

 

包罗恶意CDN服务器链接的PowerShell安装剧本

针对此次攻击的社会工程学手段还说明晰另一项弱点:人类(尤其是新手开发职员或软件消费者)可能并不总是对内容分发网络(CDN)链接保持嫌疑态度,无论这些链接是否真的可疑。这是由于通常情形下,CDN是被软件应用程序和网站正当同于提供更新、剧本和其他内容的。

Magecart等在线信用卡窃取攻击就是此类供应链攻击的另一个例子。在某些攻击中,Amazon CloudFront CDN存储桶已被攻破,以将恶意JavaScript代码分发到更多依赖此类CDN的网站之中。

3. 依赖项混淆(dependency confusion)攻击

,

Allbet Gmaing开户

欢迎进入Allbet Gmaing开户(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

2021年,提及供应链攻击就少不了要提“依赖项混淆”,稀奇是由于这种攻击的简朴化和自动化特质,使其日渐受到攻击者的青睐。得益于在多个开源生态系统中发现的固有设计缺陷,依赖项混淆能够在攻击者端通过最小的起劲甚至是自动化的方式施展作用。

简而言之,若是您的软件构建使用私有的、内部确立的依赖项,而该依赖项在公共开源存储库中不存在,那么依赖项混淆(或命名空间混淆)就会起作用。攻击者能够在公共存储库上以相同的名称注册具有更高版本号的依赖项。然后,很大的可能是,攻击者确立的具有更高版本号的(公共)依赖项——而非您的内部依赖项——将被拉入您的软件构建中。

 

依赖项混淆攻击示意图

今年2月,通过行使 PyPI、npm 和 RubyGems 等常用生态系统中的这个简朴缺陷,道德黑客 Alex Birsan 乐成地入侵了35家大型科技公司,并为此获得了跨越130,000美元的破绽赏金奖励。

在Birsan的研究功效披露几天后,数以千计的依赖项混淆模拟包最先涌入 PyPI、npm 和其他生态系统。虽然大多数模拟包都是由其他有理想的破绽赏金猎人所确立,然则仍然不乏一些恶意行为者的身影。

解决依赖项混淆的方式有许多,包罗在攻击者之前争先在公共存储库上注册所有(你的)私有依赖项的名称;以及使用自动化解决方案,例如软件开发生命周期(SDLC)防火墙,以防止冲突的依赖项名称进入您的供应链。

此外,开源存储库的所有者可以接纳更严酷的验证历程并实行命名空间/局限界定。例如,若是想要在“CSO”命名空间、局限下注册依赖项,那么开源存储库可以先验证注册的开发职员是否有权以“CSO”的名义这样做。

Java 组件存储库Maven Central接纳简朴的基于域的验证方式来验证命名空间所有权——这种做法可以很容易地被其他生态系统建模。

4. 被盗的SSL和代码署名证书

随着HTTPS网站的增添,SSL/TLS证书已经无处不在,它可以珍爱您的在线通讯。因此,SSL 证书私钥的泄露可能会威胁到端到端加密毗邻为最终用户提供的平安通讯和保证。

2021年1月,Mimecast披露其客户用于确立与Microsoft 365 Exchange服务毗邻的证书遭到损坏,可能影响约10%的Mimecast用户的通讯。虽然Mimecast没有明确确认其是否为SSL证书,但正如一些研究职员所嫌疑的那样,在很洪水平上情形似乎确实云云。

虽然受损的SSL证书存在影响,但被盗的代码署名证书(即受损的私钥)会对软件平安发生更普遍的影响。获得私有代码署名密钥的攻击者可能会将他们的恶意软件署名为由信誉优越的公司提供的真实软件程序或更新。

只管“震网”(Stuxnet)事宜时至今日仍然是庞大攻击的一个主要案例——在此次攻击中,攻击者使用了从两家著名公司窃取的私钥将其恶意代码署名为“受信托”——但此类攻击实在早在Stuxnet事宜前就已经盛行,甚至在Stuxnet事宜发生后数年的今天仍在盛行。这也注释了前面提到的Codecov供应链攻击中HashiCorp的GPG私钥泄露事宜之以是备受关注的缘故原由。虽然现在还没有迹象解释HashiCorp的泄露密钥被攻击者滥用来签署恶意软件,但在泄露的密钥被取消之前,这种事宜确实有可能发生。

5. 针对开发者的CI/CD基础设施

现在,软件供应链攻击盛行,这些攻击不仅依赖于向用户的GitHub项目引入恶意拉取请求,还会滥用GitHub的CI/CD自动化基础设施GitHub Actions来挖掘加密钱币。GitHub Actions为开发职员提供了一种为GitHub上托管的存储库放置自动化CI/CD义务的方式。

攻击方式主要包罗攻击者克隆使用GitHub Actions的正当GitHub存储库,稍微更改存储库中的GitHub Action 剧本,并向项目所有者提交拉取请求以将此更改合并回原始存储库。

 

攻击者 (edgarfox1982) 为正当项目所有者提交拉取请求以合并更改的代码

若是项目所有者随意批准更改的拉取请求,那么供应链攻击就会乐成,而且结果远不止于此。恶意拉取请求包罗对 ci.yml 的修改,一旦攻击者提交拉取请求,GitHub Actions 就会自动运行这些修改。修改后的代码实质上是滥用 GitHub 的服务器来挖掘加密钱币。

这种攻击可谓是一石二鸟:它诱使开发职员接受恶意拉取请求,若是失败,它就会滥用现有的自动化CI/CD基础设施举行恶意流动。

2021年1月,Sakura Samurai平安职员在研究团结国破绽披露设计局限内的资产平安破绽时,发现了一个ilo.org子域,该子域露出了大量Git账户信息,使得他们能够乐成入侵团结国(UN)域并接见跨越 100,000 份 团结国环境设计署(UNEP)事情职员纪录。这些纪录包罗姓名、员工ID号、员工组、旅行理由、旅行的最先和竣事日期、批准状态、停留时间和目的地。

更糟糕的是,获得Git凭证接见权限的威胁行为者不仅可以克隆私有Git存储库,还可能在上游引入恶意代码以触发供应链攻击,从而发生更严重的结果。

想要阻止此类攻击,开发职员需要践行平安编码或在开发环境中使用DevSecOps 自动化工具。同时,珍爱 CI/CD 管道(例如 Jenkins 服务器)、云原生容器以及附加开发职员工具和基础设施现在也变得同样主要。

6. 使用社会工程学来引入恶意代码

任何平安专业职员都知道,平安性取决于其最微弱的环节。由于人为因素仍然是最微弱的环节,因此泄露往往来自最意想不到的地方。最近,明尼苏达大学的研究职员被踢出了 Linux 孝顺群体,Linux 内核社区也取消了他们之条件交的所有Linux内核代码,缘故原由在于他们有意提出有缺陷的“补丁”,而这些“补丁”又会在 Linux 内核源代码中引入破绽。

只管该事宜被起劲阻止,但照样证实了一个结论:开发职员漫衍普遍,而且没有足够的宽带来审核他们提交的每一个代码,这些代码可能是存在缺陷的或完全是恶意的。

更主要的是,社会工程学可能来自最不受嫌疑的泉源——在上述案例中,具有“.edu”后缀的电子邮件地址就看似来自可信的大学研究职员。

另外一个突出案例是,任作甚GitHub项目做出孝顺的互助者都可以在宣布后更改版本。在此需要强调,GitHub项目所有者的期望是大多数孝顺者都能真诚地提交接码到他们的项目之中。但正可谓“一个老鼠坏一锅汤”,只要一个互助者不礼貌就会损害许多人的供应链平安。

在已往一年中,攻击者确立了域名抢注和品牌挟制包,一再针对开源开发职员在其上游构建中引入恶意代码,然后流传给众多消费者。

所有这些真实天下的例子都展示了威胁行为者在乐成的供应链攻击中所接纳的差异破绽、攻击前言和手艺。随着这些攻击不停生长演进并带来挑战,在思量软件平安性时,必须纳入更多创新的解决方案和战略。

本文翻译自:https://www.csoonline.com/article/3619065/6-most-common-types-of-software-supply-chain-attacks-explained.html?nsdr=true&page=2

IPFS挖矿

IPFS挖矿官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片