新的攻擊形式——針對軟體供應鏈攻擊的分析

Windows Defender ATP近日發現一起新的軟體供應鏈攻擊活動，未知的攻擊者入侵了PDF編輯器應用廠商和其軟體合作商之間的共享基礎設施，使合法的APP安裝器變成了惡意payload的攜帶者。攻擊者使用加密貨幣挖礦機來從該攻擊活動中獲利。

圖1. Windows Defender ATP對該事件中的加密貨幣挖礦機的告警消息

多廠商軟體供應鏈攻擊

攻擊者的目標是在受害者機器上安裝加密貨幣挖礦機，用PDF編輯器APP來下載和傳播惡意payload。為了破壞軟體傳播鏈，攻擊者將目標鎖定為APP廠商的軟體合作方，合作方在APP安裝過程中提供下載的字體包等。

圖3. 軟體供應鏈攻擊中兩個廠商參與的軟體分發基礎設施圖

軟體供應鏈攻擊表明了犯罪分子更多的使用了一些複雜網路攻擊的方法。此類攻擊需要進行一定的偵察活動：攻擊者必須要清楚正常安裝的過程。攻擊者最終發現了APP廠商和合作廠商之間交互的弱點，攻擊者正是利用這個機會去創造機會。

攻擊者要利用在基礎設施中的漏洞去劫持MSI字體包的安裝鏈。即使APP廠商沒有被入侵，APP也會變成惡意payload的載體，因為攻擊者可以重定向下載。

下面是多層攻擊的解釋：

1.攻擊者會在其控制和擁有的副本伺服器上創建軟體合作廠商的基礎設施。複製和保存包括字體包在內的所有MSI文件，這些文件都是經過數字簽名的。

2.攻擊者反編譯和修改其中一個MSI文件——Asian字體包，加入含有加密貨幣挖礦代碼的惡意payload。修改後的包不在是可信的，也沒有簽名。

4.在一定的期限內，APP下載MSI字體包的鏈接指向的是一個2015年在烏克蘭註冊的域名，伺服器是主流的雲平台提供商。來自APP廠商的APP下載器仍然是合法的，但是會被劫持的鏈接重定向到攻擊者的副本伺服器，而不是軟體合作廠商的伺服器。

該攻擊當前還在活動中，在APP安裝過程中，當APP到達軟體合作商的伺服器，就會被重定向到從攻擊者的副本伺服器下載MSI字體包。下載和安裝APP的用戶最終會在機器上安裝加密貨幣挖礦惡意軟體。當設備重啟後，惡意MSI文件就會被合法的MSI文件替換，所以受害者也不會意識到入侵的發生。因為更新過程並沒有被黑，所以APP可以進行自我更新。

因為入侵有二級軟體合作廠商參與，所以攻擊有可能會擴展到其他APP廠商拿到客戶。攻擊者在惡意MSI文件中硬編碼了PDF應用名，研究人員根據這個信息找出了至少6個存在被重定向風險的APP廠商。

又一起加密貨幣挖礦惡意軟體活動

惡意MSI文件在單獨的DLL文件中含有惡意代碼，該DLL文件會添加一個運行加密貨幣挖礦進程的服務。該惡意軟體名為xbox-service.exe，檢測為Trojan:Win64/CoinMiner。惡意軟體運行時，會消耗受感染機器的計算資源進行門羅幣挖礦。

圖5. 從MSI安裝器中提取的惡意DLL payload

DLL payload在惡意軟體安裝階段會嘗試修改Windows host文件，這樣受感染的設備就不能與指定PDF應用和安裝軟體的更新伺服器進行通信了。這是防止受感染的設備進行遠程清除和修復的措施。

圖6. 防止指定PDF APP廠商的下載更新

在DLL文件中，研究人員發現了基於瀏覽器的加密貨幣挖礦腳本。目前尚不清楚代碼是攻擊者的備用方案，還是攻擊者想最大限度的進行挖礦。DLL含有的字元串和代碼可能會被用於載入瀏覽器，連接到主流的Coinhive庫來進行門羅幣挖礦。

圖7. 基於瀏覽器的挖礦腳本

軟體供應鏈攻擊：已成為行業問題

早在2017年，研究人員就發現了名為WilySupply的攻擊鏈攻擊，該攻擊入侵了文本編輯器軟體更新器來安裝後門到金融和IT領域的目標企業中。Petya勒索軟體、CCleaner這樣的軟體供應鏈攻擊層出不窮。研究人員認為，未來這一趨勢會不斷加劇。

圖8. 軟體供應鏈攻擊趨勢

供應鏈攻擊流行的原因之一是Windows 10這類加固的現代平台的出現，傳統的瀏覽器漏洞利用這樣的感染方式逐漸消失。攻擊者不斷在尋找各環節中的弱點，因為尋找0 day漏洞太難，所以攻擊者會尋找一種更加便宜、可行的攻擊入口——軟體供應鏈攻擊。軟體供應鏈攻擊的起因是因為使用了不安全的代碼、不安全的協議、或者伺服器基礎設施未保護。

對攻擊者來說，供應鏈可以提供大量的潛在受害者，回報率非常高。所以，這其實已經成為一個行業問題，需要多方關注和協同去解決，比如軟體開發者和廠商在代碼編寫方面、系統管理員在軟體安裝過程中、安全管理員找到攻擊並提出解決方案等等。

對軟體開發商和開發人員的建議

1.保持基礎設施的安全性，並及時更新。

· 對OS和軟體及時打補丁。

· 進行手動完整性控制確保只有可信的工具才能在設備上運行。

· 對管理員進行多因子認證。

2.把安全的軟體更新作為軟體開發生命周期的一部分。

· 更新通信信道要使用SSL，並應用證書鎖定技術。

· 對包括配置文件、腳本、XML文件、包等各類文件簽名。

· 檢查數字簽名，軟體更新器不應接受通用的輸入和命令。

3.開發應對供應鏈攻擊的應急響應

· 供應鏈攻擊事件發生後，應該及時和通知客戶準確的信息。

企業如何應對供應鏈攻擊

·對重要系統和設備使用電子圍欄系統。Windows 10 S模式就只允許安裝來自Microsoft Store的應用程序，確保經過微軟的安裝驗證。

·應用強代碼完整性策略。應用控制是限制用戶可以運行的應用的，同時也限制運行在系統核心態的代碼，可以攔截未簽名的腳本和其他不可信的代碼。

·使用終端檢測和響應解決方案。

在供應鏈攻擊中，真實的入侵活動其實是發生在網路之外的，但是企業可以在惡意軟體到達企業邊界後檢測和攔截惡意軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！