|
并非所有的软件供应链攻击都是同样的。以下是攻击者日前经过第三方破坏合法软件的惯用办法。
软件供应链事件近期登上了资讯头条,诱发了各界广泛关注。尽管这些安全事件有着许多类似之处,但事实上,并非所有的供应链攻击都是相同的。 
“供应链攻击”这一总叫作涵盖了攻击者干扰或劫持软件制造过程(软件研发生命周期),从而对成品或服务的许多消费者导致有害影响的任何状况。当软件构建中运用的代码库或单个组件受到感染、软件更新二进制文件被木马化、代码签名证书被盗,乃至托管软件即服务(SaaS)的服务器遭到破坏时,都可能会出现供应链攻击。
针对任何软件供应链攻击,攻击者都会在上游或中游介入,将其恶意活动及其后果向下游传播给众多用户。因此呢,与孤立的安全漏洞相比,成功的供应链攻击常常规模更大,影响更深远。
下面为大众介绍现实世界中成功的软件供应链攻击活动惯用的6种重要技术:
供应链攻击示例
1. 上游服务器妥协——Codecov攻击
针对大都数软件供应链攻击,攻击者会破坏上游服务器或代码存储库并注入恶意负载(例如,恶意代码行或木马更新)。而后将该有效载荷向下游分发给众多用户。然而,从技术方向来看,状况并非总是如此。
Codecov 供应链攻击便是这般一个例子。尽管该事件与SolarWinds攻击存在类似之处,但两次攻击之间却存在显著差异。SolarWinds 供应链漏洞是技能卓越的威胁行径者的“杰作”,她们更改了合法的更新二进制文件 SolarWinds.Orion.Core.BusinessLayer.dll,其是SolarWinds IT性能监控制品Orion的一部分。
FireEye之前分析过,假冒DLL的RefreshInternal()办法中包括的恶意代码如下所示。当 Orion 加载库存管理器插件时,此办法会调用基于 HTTP 的后门:
带有恶意RefreshInternal办法的后门DLL版本2019.4.5200.9083
然而,仅有当修改后的二进制文件向下游传播至包含美国政府公司在内的 18,000 多个 SolarWinds Orion 客户时,SolarWinds 上游攻击才算发挥了所有功效。
而在Codecov攻击案例中,无恶意代码分发到下游,但却切切实实地产生了攻击后果。按照官方安全公告指出,黑客利用Codecov的Docker映像创建过程中显现的错误,违法得到了其Bash Uploader脚本的拜访权限并且进行了修改,以收集从客户的连续集成/连续交付 (CI/CD) 环境上传的环境变量:
| 
发表于 2024-7-1 18:11:09
