聊聊六种常见的软件供应链攻击类型

并非所有的软件供应链攻击都是一样的。以下是攻击者目前通过第三方破坏合法软件的惯用方法。

软件供应链事件最近登上了新闻头条，引发了各界广泛关注。尽管这些安全事件有着诸多相似之处，但事实上，并非所有的供应链攻击都是相同的。

“供应链攻击”这一总称涵盖了攻击者干扰或劫持软件制造过程(软件开发生命周期)，从而对成品或服务的诸多消费者造成不利影响的任何情况。当软件构建中使用的代码库或单个组件受到感染、软件更新二进制文件被木马化、代码签名证书被盗，甚至托管软件即服务(SaaS)的服务器遭到破坏时，都可能会发生供应链攻击。

对于任何软件供应链攻击，攻击者都会在上游或中游介入，将其恶意活动及其后果向下游传播给众多用户。因此，与孤立的安全漏洞相比，成功的供应链攻击往往规模更大，影响更深远。

下面为大家介绍现实世界中成功的软件供应链攻击活动惯用的6种关键技术：

供应链攻击示例

1. 上游服务器妥协——Codecov攻击

对于大多数软件供应链攻击，攻击者会破坏上游服务器或代码存储库并注入恶意负载(例如，恶意代码行或木马更新)。然后将该有效载荷向下游分发给众多用户。然而，从技术角度来看，情况并非总是如此。

Codecov 供应链攻击就是这样一个例子。尽管该事件与SolarWinds攻击存在相似之处，但两次攻击之间却存在明显差异。SolarWinds 供应链漏洞是技能卓越的威胁行为者的“杰作”，他们更改了合法的更新二进制文件 SolarWinds.Orion.Core.BusinessLayer.dll，其是SolarWinds IT性能监控产品Orion的一部分。

FireEye之前分析过，假冒DLL的RefreshInternal()方法中包含的恶意代码如下所示。当 Orion 加载库存管理器插件时，此方法会调用基于 HTTP 的后门：

 

带有恶意RefreshInternal方法的后门DLL版本2019.4.5200.9083

然而，只有当修改后的二进制文件向下游传播至包括美国政府机构在内的 18,000 多个 SolarWinds Orion 客户时，SolarWinds 上游攻击才算发挥了全部作用。

而在Codecov攻击案例中，没有恶意代码分发到下游，但却切切实实地产生了攻击后果。根据官方安全公告指出，黑客利用Codecov的Docker映像创建过程中出现的错误，非法获得了其Bash Uploader脚本的访问权限并且进行了修改，以收集从客户的持续集成/持续交付 (CI/CD) 环境上传的环境变量：

 

尽管Codecov Bash Uploader 脚本在Codecov[.]io/bash 的 Codecov 服务器本身上存在(并继续存在)，但数千个存储库已经指向该链接，以将信息从其 CI/CD 环境上游发送到此BashUploader。因此，恶意代码仅存在于(受损的)上游服务器上，而没有发生任何下游代码分发，因为所谓的下游存储库已经指向托管 Bash Uploader 脚本的 Codecov 服务器。然而，这些下游存储库也受到了此次攻击的影响，因为它们被配置为将数据上传到 Codecov 的 Bash Uploader：

 

事实上，据报道，Codecov 攻击者使用从受损Bash Uploader处收集的凭据破坏了数百个客户网络。最近开源程序工具和保险柜制造商HashiCorp也披露称，Codecov供应链攻击已经致使其GPG签名密钥被泄漏。

2. 中游妥协以传播恶意更新

术语“中游”在这里主要指攻击者破坏中间软件升级功能或 CI/CD工具而非原始上游源代码库的实例。今年4月，许多《财富》500 强公司使用的Passwordstate企业密码管理器的制造商Click Studios通知客户称，攻击者破坏了Passwordstate的升级机制，并利用它在用户的计算机上安装了一个恶意文件。其文件名为“moserware.secretsplitter.dll”，其中一小部分如下所示：

在安全公告中，Click Studios表示，攻击持续了大约28小时才被关闭。只有在此时间段内执行一键升级的客户才会受到影响。而Passwordstate 的手动升级不会受到损害。受影响的客户密码记录可能已被收集。

不出所料地是，Passwordstate攻击事件后就发生了针对Click Studios 用户的网络钓鱼攻击，攻击者在这些钓鱼电子邮件中放置了指向更新的恶意软件版本的非法链接。