日前,360天擎团队、360安全监测与响应中心和360威胁情报中心联合发布《中国政企软件供应链攻击现状分析报告》(以下简称:报告)。报告引用了12个典型的案例介绍了常见的供应链攻击手段,从政企客户角度分析了供应链攻击的现状,并给出了软件供应链具体攻击防范建议。鉴于软件供应链安全问题较强的隐蔽性,报告同时呼吁广大客户更加关注软件供应链攻击的新形式,做好有效的安全防御措施。
软件供应链攻击日益普遍攻击手法多样
“软件供应链攻击”作为一种较为隐蔽的网络攻击手段,最大的特点是能够获得了“合法软件”的保护,因此很容易绕开传统安全产品的围追堵截,进行大范围的传播和攻击。经过360监测发现,近期通过合法软件传播恶意软件的“软件供应链攻击”事件越来越多,并在全球范围内迅速蔓延,攻击手法更是层出不穷,造成的损失难以估量。
图1:报告分析了12起软件供应链攻击典型案例
比如2015年5月底,360公司监测到一款名为“中国插件联盟”的下载者木马感染量暴涨,通过对木马下载重灾区某影音软件的分析发现,中招电脑上的该影音软件通过官方渠道安装,本身没有捆绑木马,中招前大约一个月时间内,电脑也没有执行过可疑程序。
经过重点监测和测试验证,360发现在该影音客户端展示的一个私服广告页面,带有IE远程代码执行漏洞(CVE-2014-6332)的挂马代码,可以利用该影音软件去执行木马代码。
再比如2017年2月28日,用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载PC软件并安装时,会被植入恶意代码,用来劫持导航站、电商网站、广告联盟等各种流量,并伪装成联盟流量骗取百度分成收入。百度安全部门最终调查发现:事件中两个网址所提供的hao123软件下载器为第三方外包团队开发,也就是说,相关人员借助职务之便,轻松在下载器中植入了恶意插件。
功能性软件更易受攻击免费软件多为用户自行下载安装
《报告》显示,在各种容易被攻击的软件中,主要以安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制软件、图形图像等功能性软件为主,这些软件既包含付费软件,也包含免费软件。
而在软件供应链攻击的软件利用角度方面,除了软件厂商及其分发渠道自身存在的安全缺陷,监管不严,导致原本可以规避的安全事故发生外,还存在软件厂商及其分发渠道为了达到某些特殊目的而不做严格自我约束产生的安全缺陷。此外,不法分子在软件厂商及其分发渠道毫不知情的情况下恶意利用软件漏洞也是造成应用软件被攻击的原因之一。
图2:报告分析了12起事件中的软件供应链攻击手法
《报告》还指出,常见的软件供应链攻击中,不法分子既可以利用用户从软件厂商下载安装软件时进行攻击,也可以利用用户升级维护软件应用时展开攻击。同时,利用软件厂商在用户使用软件过程中主动推送商业广告等信息,诱导用户安装“问题软件”也容易成为不法分子潜入阶段。但值得注意的是,政企机构中的免费软件中,大多是员工通过互联网渠道自行下载安装的。
而不法分子“软件供应链攻击”的方法,除了常见的用户正常链接外,通过篡改用户下载链接,植入外链以及在合法软件上植入恶意代码的挂马也成为主要攻击方法。
不同行业面临软件供应链攻击的侧重有所不同
鉴于分析不同类型软件在不同行业的应用现状,将有助于行业用户了解自身遭遇软件供应链攻击的风险系数。为此,360对政府、金融、能源、大企业、互联网等多家政企机构的19万台终端的软件应用情况进行了调研与分析。
就软件安装量来看,在所有参与调研的大型政企机构中,办公软件的安装量最高,占比为30.1%;其次是休闲娱乐软件,占比为14.6%;行业软件(特定行业使用的专用软件)排第三,占14.4%。
从软件覆盖率来看,安全软件的覆盖率最高,高达95.2%;其次是休闲娱乐软件,占比为45.2%;搜索下载软件排在第三,占比为37.7%。
除了从使用角度对软件进行分类外,360还依据软件供应商与政企机构的关系,将软件简单的分为付费软件和免费互联网软件两种。
其中,付费软件在本身的质量、安全性和服务等方面都会有很高的保障,遭遇攻击的概率相对会低很多。但是,付费软件一旦遭遇软件供应链攻击,其破坏能力也是巨大的。
免费的互联网软件多为员工自行下载安装的,软件本身的安全性参差不齐,政企机构对软件厂商也没有直接的约束关系,因此遭遇软件供应链攻击的风险非常高。
图3:不同行业中各类软件安装量占比不同,安防侧重点也就不同
从政府、金融、能源、大企业和互联网五个领域用户不同类型软件的应用情况分析来看,政府单位由于办公软件和定制软件使用频率高,不法分子从这两类软件发起攻击的概率更高。金融行业侧重于行业软件和搜索下载工具。能源行业重点在办公软件和行业软件。大型央企应当对休闲娱乐类软件的安全进行特别的关注。而互联网企业则可能受到任何类型的软件发生供应链攻击。
针对性防范软件供应链攻击是护卫政企网络安全的核心
针对上述情况,报告给出政企机构软件供应链攻击防范建议,其中包括:IT安全管理者需要精准、实时、全面掌控公司、单位的软件资产信息,需要为员工构建安全可靠的软件下载平台,软件基础设施安全方面的工作则可以交给更为专业的安全厂商,由安全厂商对应用、工具类软件进行安全把关。
同时,IT管理人员还应管控软件更新的网络通道,并且部署安全设备进行有力的管控。这就要求IT管理人员能够对互联网软件的网络通信行为进行分析和感知,并具备进一步管控的能力,在软件供应链攻击事件发生时,可以第一时间封死网络通信链路,避免进一步损失。
图4:360软件供应链攻击解决方案,为政企机构搭建铜墙铁壁
报告最后还介绍了360软件供应链攻击解决方案,该解决方案由360企业软件管家、360新一代终端安全管理系统(天擎)和360新一代智慧防火墙组成,能够帮助客户精准掌控各类软件在内网中的使用情况,并通过安全渠道下载、把控升级通道等方式阻断软件供应链攻击的进入通道,通过终端边界协同防御防止攻击在软件使用过程中作恶。
综上所述:软件供应链攻击之所以能够成功,关键在于它们披上了“合法软件”的外衣,因此很容易获得传统安全产品的“信任”,悄悄混入系统并实施攻击。面对这种新的攻击形式,不同行业中常用软件类型不同,攻防侧重点也有所不同。这就要求企业IT管理人员具备一定的技术能力和风险管控能力,依靠安全厂商解决方案的襄助,针对不同的攻击类型、不同的攻击阶段实施有针对性的精准防护,以确保企业IT系统的正常、安全运行。
