在本月早些時候舉行的安全分析師峰會上, AVAST員工介紹了他們去年收購的一家小型英國軟體公司Piriform的案例。Piriform推出的CCleaner實用工具相當出名, 用於清除可能不需要的檔以及無效的Windows註冊表項。事實上, 這是一款最老的系統清潔工具, 下載次數超過20億次。或許這就是為什麼APT攻擊者會選中它來傳播間諜軟體的原因。
起初, 犯罪分子是通過感染構建程式的伺服器來入侵Piriform的編譯環境。雖然原始程式碼很乾淨, 但編譯後的版本包含了後來被用於攻擊的惡意軟體。此外, 借助更改後的編譯器庫, 該惡意軟體獲得了合法的Piriform數位簽章。被感染的版本是CCleaner 5.33.6162和CCleaner Cloud 1.7.0.3191。
攻擊手法本身相當複雜, 至少分為三個階段。該惡意軟體隱藏在一款擁有約1億活躍使用者的流行應用程式中, 而且分發時間已經有一個月。大約有227萬人下載了被感染程式, 並且至少有165萬個惡意軟體副本在試圖與罪犯分子的伺服器通信。後來人們才發現, 命令控制伺服器包含一個簡單的腳本, 用於確定哪些受害者成為第二階段的攻擊目標。此腳本只檢查用戶的域, 然後選出在知名高科技公司和IT供應商那裡工作的人。通過這種方式選出的電腦只有40台;這些電腦會收到另外的惡意軟體。
第二階段攻擊的目的與第一階段差不多 – 是用來調整目標。應該是犯罪分子收集了這40台電腦的資訊, 進行分析後, 選擇了最感興趣的目標。在此階段, 犯罪分子的目標群體減少到了四個。
這四台電腦會收到量身定制的ShadowPad, 這是中國攻擊者慣用的著名惡意軟體。至此, 此次攻擊的真正目的才真正曝露:向知名公司的某些員工傳遞後門。
這起事件帶給我們的主要教訓其實已經在本文開頭說過了:就算你不是APT攻擊者關注的目標, 也仍然有可能成為惡意軟體傳遞鏈中的受害者。尤其是號稱下載量達數十億的軟體。為了最大限度地減少可能對企業造成的傷害, 您需要採取一種策略, 全方位防禦有針對性的攻擊:從防禦措施、檢測、回應一直到消除漏洞和預測可能的風險。不時尋求外部專家的支持或許是明智的做法。
資料來源:https://www.kaspersky.com/blog/ccleaner-supply-chain/21785/
供應鏈攻擊是威脅的新興的一種軟體開發人員和供應商為目標。 目標是要存取來源代碼、 建置處理程序,或藉由感染合法的應用程式散布惡意程式碼來更新機制。
- 已遭破解的軟體建置工具或已更新的基礎結構
- 遭竊的程式碼簽署憑證或已簽署惡意應用程式使用的開發人員的公司身分識別
- 已遭破解的特定程式碼出貨到硬體或韌體的元件
- 預先安裝的惡意程式碼上的裝置 (相機、 USB、 手機、 等)。
導致資安事件的原因:供應商弱點
網路攻擊類型統計:供應商提供服務的違反規定
分析組織之供應鏈架構,透過供應鏈架構發現脆弱點可能多發生在上下游的供應商,政府組織基於法令法規要求,建置資訊安全管理已行之多年,也具備一定程度的安全性,但對於供應商(系統開發)安全性並無強制性要求達到何種程度,開發商通常因作業所需,擁有系統高權限,或甚至有權限存取或保有機敏資料,組織內對於系統管理的專業人力不足是根因,一個單位動輒幾十個資訊系統,而管理的人力卻不成比例,因此衍生出高度依賴委外供應商的狀況,基於此現況,應逐步將組織之資訊安全管理制度擴展至委外服務的供應商,強化其資安技術與管理制度。
應建立一套與組織資安管理制度契合的委外供應商資訊安全管理要求,基於ISO27001標準並輔以政府委外開發指引,提出以下幾個面向的安全
1.全景分析,針對組織的關鍵業務與關注方要求審視進行分析:本文4
2.風險評鑑,針對全景分析結果做風險評鑑,並實施控制措施:本文6
3.資產識別與鑑價:軟體,硬體,資料,服務,人員: A8
4.存取控制:應針對主體(Subjects):內部/外部,與目標(Objects):資料、服務,建立存取控制措施,如帳密、生物辨識、多因子、憑證卡等認證方式 :A9
5.系統開發生命週期:需求->設計->開發->測試->佈署->維護,應Security by design,應建置程式碼或重要資料之完整性控制機制:A11,12,13,14
6.運作管理:基礎設施,通訊網路、重要設備之弱點漏洞管理:A12
7.資安事件緊急應變處理與營運衝擊:發生安全事件的緊急應變機制:A16,17
