揭秘新發(fā)現(xiàn)的供應(yīng)鏈攻擊

武新沂

隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的提高，攻擊者要想再利用以前的攻擊技術(shù)來(lái)獲得成功，越來(lái)越難了。所以黑客也正在琢磨著提高攻擊成功率的方法，例如利用用戶(hù)對(duì)軟件供應(yīng)商的信任等。

大多數(shù)用戶(hù)認(rèn)為，只要軟件供應(yīng)商值得信賴(lài)，那他們的產(chǎn)品也一定沒(méi)有安全問(wèn)題。而攻擊者正是利用了這個(gè)心理，發(fā)起了所謂的“供應(yīng)鏈攻擊”，因此在安裝軟件或更新時(shí)，用戶(hù)時(shí)刻都要仔細(xì)檢查源代碼站點(diǎn)，以確保它是合法的，只有這樣才能讓代碼放心地在我們的計(jì)算機(jī)上運(yùn)行。隨著開(kāi)發(fā)人員對(duì)軟件和網(wǎng)頁(yè)的防護(hù)能力越來(lái)強(qiáng)，在過(guò)去幾年中，黑客越來(lái)越多地是利用這種供應(yīng)鏈信任來(lái)傳播惡意軟件。

近期，在不到一周的時(shí)間里，研究人員發(fā)現(xiàn)了兩起新的利用供應(yīng)鏈進(jìn)行攻擊的事件。

第一個(gè)涉及到VestaCP，這是一個(gè)系統(tǒng)管理員用來(lái)管理服務(wù)器的控制面板界面。Censys執(zhí)行的互聯(lián)網(wǎng)掃描顯示，目前有超過(guò)132 000個(gè)未過(guò)期的TLS證書(shū)可以保護(hù)VestaCP用戶(hù)。根據(jù)安全公司Eset最近發(fā)布的一篇帖子，有未知的攻擊者破壞了VestaCP服務(wù)器并利用他們的訪(fǎng)問(wèn)權(quán)限，對(duì)可下載的安裝程序進(jìn)行了惡意更改。

供應(yīng)鏈攻擊過(guò)程

Eset惡意軟件研究員Marc-étienneM.Léveillé表示：VestaCP安裝腳本被攻擊者修改后，可以在安裝成功后向vestacp.com報(bào)告生成的管理員憑證。我們并不確切知道這種情況是何時(shí)發(fā)生的，但修改后的安裝腳本在2018年5月31日～ 6月13日期間，已經(jīng)出現(xiàn)在了GitHub上的源代碼管理中。

目前，對(duì)這個(gè)攻擊還在進(jìn)一步研究中，在調(diào)查完成之前，仍然不清楚攻擊是如何發(fā)生的。根據(jù)Léveillé的初步調(diào)查結(jié)果，黑客最有可能是通過(guò)利用VestaCP軟件或用于傳播它的服務(wù)器中的關(guān)鍵漏洞開(kāi)始的，這使得攻擊者可以自行控制攻擊過(guò)程。也就是在此期間，攻擊者將密碼嗅探函數(shù)添加到安裝源代碼中，此時(shí)VestaCP軟件已經(jīng)包含了從用戶(hù)服務(wù)器向vestacp.com網(wǎng)站發(fā)送統(tǒng)計(jì)信息的代碼。

Léveillé認(rèn)為惡意代碼只是添加了一些難以解密的代碼行，這些代碼行導(dǎo)致密碼被包含在其中，然后攻擊者利用對(duì)VestaCP網(wǎng)絡(luò)的控制來(lái)檢索被盜密碼。研究人員說(shuō)，雖然這種方法更復(fù)雜，但安全檢測(cè)方案更難在源代碼中檢測(cè)到惡意代碼。對(duì)此，Leveille說(shuō)：“攻擊者可能會(huì)使用密碼通過(guò)其安全shell界面登錄服務(wù)器?！?/p>

使用SSH，攻擊者就可以用ChachaDDoS感染服務(wù)器，ChachaDDoS是一種相對(duì)較新的惡意軟件，用于對(duì)其他網(wǎng)站進(jìn)行拒絕服務(wù)攻擊。該惡意軟件提供了各種高級(jí)功能，包括防止管理員在服務(wù)器上查找和分析它的方法。Chacha運(yùn)行在32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC上。近日安全公司Sophos的研究人員公布了一個(gè)新發(fā)現(xiàn)的DDoS僵尸網(wǎng)絡(luò)，他們稱(chēng)之為Chalubo，幾乎可以肯定它運(yùn)行的是Eset描述的Chacha惡意軟件。

當(dāng)時(shí)對(duì)VestaCP供應(yīng)鏈的攻擊最少已經(jīng)有14天了，因?yàn)樵创a中記錄時(shí)間是14天。類(lèi)似的帖子顯示，VestaCP用戶(hù)早在2018年4月初就報(bào)告了服務(wù)器遭到黑客攻擊，這比Eset列出的5月31日早了近兩個(gè)月。類(lèi)似這樣的討論表明，在之前惡意修改的代碼從源代碼中刪除之后，影響VestaCP用戶(hù)的攻擊仍在繼續(xù)。

利用ClipboardHijacking軟件潛入PyPI

第二個(gè)供應(yīng)鏈攻擊涉及一個(gè)惡意軟件包，該軟件包已被插入到了廣泛使用Python編程語(yǔ)言的官方存儲(chǔ)庫(kù)中。被稱(chēng)為“Colourama”的軟件包看起來(lái)與Colorama類(lèi)似，Colorama是Python存儲(chǔ)庫(kù)中下載量最多的20個(gè)合法模塊之一。Doppelg NgerColourama軟件包包含合法模塊的大多數(shù)合法函數(shù)，但與Colorama有一個(gè)顯著區(qū)別：Colourama添加的代碼在Windows服務(wù)器上運(yùn)行時(shí)安裝了這個(gè)Visual Basic腳本。它會(huì)不斷監(jiān)控服務(wù)器的剪貼板，以獲取用戶(hù)支付加密貨幣的線(xiàn)索。惡意腳本觸發(fā)后，該腳本會(huì)將支付信息從剪貼板中包含的錢(qián)包地址轉(zhuǎn)移到攻擊者擁有的錢(qián)包。

在過(guò)去的六個(gè)月里，隱藏在PyPI的ClipboardHijacking軟件已被下載了171次（不包括鏡像站點(diǎn)），被感染的服務(wù)器不僅必須刪除惡意的Colourama模塊，還必須進(jìn)行注冊(cè)表更改以清除Visual Basic腳本。

根據(jù)目前所掌握的證據(jù)，兩個(gè)新發(fā)現(xiàn)的供應(yīng)鏈攻擊都沒(méi)有發(fā)生大規(guī)模的感染。但這并不代表供應(yīng)鏈攻擊的威力不大，在2017年爆發(fā)的NotPetya攻擊，已被專(zhuān)家形容為一種網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。

業(yè)內(nèi)專(zhuān)家預(yù)測(cè)，供應(yīng)鏈攻擊在將來(lái)會(huì)更加普遍，如果可能的話(huà)，用戶(hù)應(yīng)該考慮掃描所有下載的安裝程序和更新，并密切關(guān)注其名稱(chēng)的變化，以確保它們與自己要安裝的合法模塊相匹。