谈谈软件供应链污染

本文原创作者:ArkTeam/Veronica,本文属FreeBuf原创奖励计划,未经许可禁止转载

2015年9月,XcodeGhost事件爆发,超过 4000个不同版本的苹果应用被感染,该事件影响了中国近一亿苹果手机用户,由此引发的软件供应链安全问题受到广泛关注,软件供应链污染也首次进入了大众的视野。本文对软件产品供应链污染进行简要介绍并围绕软件供应链污染危害、安全事件分析和防范几方面展开。

001 简介

鉴于业内目前对于软件供应链尚无明确的定义,本文结合广义的供应链概念以及本文的研究内容,姑且将软件产品供应链及其污染定义如下:

软件供应链是指由软件源码编写,源码编译,软件分发,软件下载,软件更新环节组成的流水线。

软件供应链污染则是在软件供应链中的各个环节利用不同的技术对软件进行污染。

002 危害

软件供应链污染会造成许多危害,主要包括泄露隐私信息、恶意替换正版软件、让攻击者获得系统控制权限等,下面对几类常见危害进行详细介绍。

a) 隐私信息泄露

攻击者通过在软件产品中加入键盘记录功能、安装后门以及窃取密码等方式,污染软件供应链的某一环节,读取使用者的隐私信息,其中不仅包含个人用户隐私信息,也包括企业和国家的机密信息,攻击者进而利用获得的隐私信息敲诈勒索个人及企业合法用户、甚至出卖国家机密危害国家利益。

b) 恶意替换

在一些“流氓软件”中,商家结合社会工程学方法污染软件供应链的下载环节,使用自己的软件产品替换正版软件产品,导致用户下载到的是“流氓软件”,从而增加该软件的下载量和使用量。

c) 重定向系统控制

部分被污染的软件会重定向系统控制从而允许攻击者远程控制计算机。攻击者运用具有命令—控制功能的软件接管特定活动,控制计算机进行软件原本设计目的之外的活动,并且通常情况下用户对此毫不知情。

003 安全事件

发生在软件供应链各环节的污染屡见不鲜,下面通过对主要安全事件的简要分析对各环节污染进行说明。

a) 源码编写

2013年美国“棱镜门”事件曝光,以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”,协助美国政府对世界各国实施大规模信息监控,随时获取各国最新动态。

思科公司多款主流路由器产品被曝出在VPN隧道通讯和加密模块存在预置式“后门”,即技术人员在源码编写过程中已经将“后门”放置在产品中,利用“后门”可以获取密钥等核心敏感数据。

b) 源码编译

文章一开始提到的XcodeGhost污染原理就是软件应用在编译过程中被强制加入了恶意的库文件,XcodeGhost污染流程图如下。

在该事件中,攻击者发现开发人员从官方途径获取Xcode编译器困难的现象,从苹果官方网站取得开发工具Xcode,植入恶意程序,然后将被污染的 Xcode上传到百度网盘或者其他常见的下载论坛,利用黑帽SEO的方式提高恶意Xcode的搜索排名。开发者下载遭到污染的 Xcode,然后使用被污染的Xcode开发APP,这些 APP 会自动连线到恶意Xcode内建C&C服务器,向攻击者服务器回传APP 用户的个人信息,并接受攻击者服务器控制进行非法操作。

此次XcodeGhost事件中,使用被污染Xcode开发的恶意APP 数量超过四千个,包括用户群非常庞大的QQ、微信、滴滴打车等应用,受害用户近一亿人。

c) 软件分发与下载

近日,第三方安全机构火绒安全实验室发布了一份报告称,用户在百度旗下两个网站http://www.skycn.net/和http://soft.hao123.com/下载任何软件时,都会被植入恶意软件,使得软件分发与下载环节受到污染,百度方面在3月3日也发表声明承认问题真实存在,并致歉用户。

用户使用hao123下载器下载软件的同时,下载器会在后台静默释放和执行一个名为nvMultitask.exe的释放器,进而向用户电脑植入恶意代码。即使用户不做任何操作直接关闭下载器,恶意代码也会被植入。

下图是下载器向用户计算机植入恶意代码示意图。

  d) 软件更新

在Havex APT事件中,攻击者在ICS(Industrial Control Systems ,工业控制系统)软件升级包中插入Havex恶意文件,用被污染的软件升级包替换正版升级包,Havex程序在工控系统软件升级的同时被下载和执行。

下面是Havax污染软件更新环节的流程示意图。

攻击实施过程中,攻击者利用水坑攻击,首先入侵ICS软件供应商主站,污染正版软件升级包,以ICS软件供应商为跳板来实现对 ICS的攻击,在ICS下载安装升级包的同时,Havex文件得以成功进入 ICS 内部。

004 防范

上文针对各环节的攻击给出了具体实例,在网络世界里,软件供应链污染情况层出不穷,被污染的软件会结合各种社会工程学的方法渗透到我们的生活中,比如将污染软件与合法软件进行捆绑、网页中虚假消息或者弹框、钓鱼邮件等。虽然软件供应链污染情况大量存在,但并不意味着我们对软件供应链污染毫无办法,下面介绍几点防范措施。

a) 谨慎下载免费软件,并使用虚拟机运行不明来源的软件,尽量从官网等正规渠道获取软件

b) 操作系统中尽量使用非管理员账户

c) 对于可疑电子邮件或图片保持警觉

d) 不要轻信要求您下载软件的弹出窗口

e) 安装使用防病毒软件

本文转自d1net(转载)

时间: 2024-12-31 08:39:36

谈谈软件供应链污染的相关文章

软件供应链平台汇新云

软件供应链平台汇新云,很多人在寻找软件供应链系统软件开发平台时,常常会选择去百度搜索"软件项目开发",看看哪些找软件服务商的平台专业实力比较强大靠谱.殊不知,并不是所有的软件供应链平台都会提供智能匹配与软件需求相符的软件供应商的. 软件供应链平台是不是都会找到符合客户要求的软件供应商呢? 汇新云IT软件供应链服务平台,主营的是"软件项目需求在线定制交易"业务,即面向国内外制造商.供应商.代理商以及零售商.软件需求方,在采购环节中提供一站式供应链服务,以此提高企业的物

谈谈软件下载站的几种盈利模式

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 大家好,通过上次写了关于06年07年的经历的两篇文章,<年赚两万元让我加入了站长行列> < 年赚两万元让我加入了站长行列(二)后,我再次写一下08年搞的一个软件下载网站的一些经验心得吧! 在08年后我开始发力搞软件下载网站了,07年搞了一个资料下载网站,发现还是有有盈利的,之前的程序是在淘宝购买的,我发现现在已经不用购买新的

专访阿里云资深专家易立,Docker技术将改变现代软件供应链

4月26日的云栖大会·南京峰会上,阿里云资深专家汤子楠发布了飞天专有云敏捷版(Apsara Stack Agility),此前美国Docker公司首席执行官Ben Golub 在曾在DockerCon 2017上宣布过这个消息. 这是阿里云和Docker公司合作之后的产物,是国内第一个支持Docker官方企业版(Enterprise Edition, EE)的容器类产品,包含从容器的创建到运行以及镜像的全生命周期管理,可以部署在企业自有数据中心环境内,特别适用于企业专有云及混合云场景. 专访阿里

稳定软件供应链的关键是雇佣开源维护者

使用免费开源代码在短期内是一件很愉快的事情,但如果你要在长期内依赖开源代码,风险是很大的,甚至十分昂贵,除非你主动参与到开源社区.存在风险的原因 是:一个活跃的开发者社区会导致开发方向的多变,今天你依赖的API和特性明天可能就截然不同.减小风险的方法很简单:如果你的公司想要从长期消费开源代 码中受益,你需要作出有意义的贡献,能影响到项目的发展方向,而在开源项目中起到举足轻重作用的人是维护者.所以,稳定软件供应链的最简单方法就是雇佣维护者和主要开发者. 三星就是这么做的 ,它有一个开源团队.在该公

基于 Docker 的现代软件供应链

[编者按]本文作者为 Marc Holmes,主要介绍一项关于现代软件供应链的调查结果.本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文. 3 月初,为了了解软件供应链的现状以及 Docker 在软件供应链发展中所起的作用,我们广泛调查了对 Docker 感兴趣的人群.今天上午,我们很高兴在此公布该调查的结果,您也可以点击此处获取报告详情. 调查方法 在此次调查中,我们采访了部署容器技术各个阶段的人员,并收到了 500 多位调查对象的反馈结果.他们都是从事开发和运维工作的专业技

《企业软件交付:敏捷与高效管理精要》——第 3 章 软件供应链和软件工厂

第 3 章 软件供应链和软件工厂 本章概要本章中我讨论了软件供应链,以及它如何为全球企业软件交付提供了一种工业化模式的视角,并以软件工厂为例加以说明.我强调了软件工厂的核心特征并举了几个相关的例子.本章得出的主要结论如下:看待今天的全球性企业,供应链是一个有意义且有用的视角,通过它可以深入了解企业软件交付的一些挑战.采用工业化的方法,可以突出企业软件交付中的成本效益.再利用和标准化问题.由一系列软件工厂组织起来的全球性企业,需要一种能够凸显整个全球供应链中协作.自动化和可见性的流程和技术基础.我

使用Docker保护软件供应链安全

在Docker内部,我们花了很多时间讨论一个话题:如何将运行时安全和隔离作为容器架构的一部分?然而这只是软件流水线的一部分. 我们需要的不是一次性的标签或设置,而是需要将安全放到软件生命周期的每个阶段. 由于软件供应链上的人.代码和基础设施一直在改变,交互也越来多,组织(公司)必须将安全纳入供应链的核心部分. 考虑一个实际存在的产品:如电话,仅仅考虑到最终产品的安全性是不够的.除了决定使用什么样的防盗包装,你可能也想知道材料的来源,以及他们是如何组装,包装,运输.因为,重要的是我们还要确保手机不

《企业软件交付:敏捷与高效管理精要》——3.2 走向软件供应链

3.2 走向软件供应链 由于商业环境的演变.金融动荡.社会的变化和技术进步,许多业务领域中在过去的几年都经历了很大的变化.要了解和发展自己的业务来适应新形势,企业机构已经分析了自己的核心业务流程,看看可以如何改进.优化并进行重组.这种业务流程再造已帮助机构重新着力于业务中最引人注目.最有价值的方面.这也常常是机构调整投资的过程,那些被视为根本的商业活动会获得优先投资,而次要的则考虑剥离[39].这样得到的业务供应链由一系列直接拥有和治理的业务活动组成,并与那些可能从其他来源收购并定制的活动整合在

谈谈软件的开发及成长历程

每个人身上,都有着独一无二的经历,也有着不一样的成长历程.回顾一下,从大学时期参加校网络中心从事开发工作,到目前在社会上的风雨兼程,也走过十多年的开发路程了,黄金岁月,青春年华,都在这期间度过. 养成经常写写博客的习惯,也将近10年,每篇文章,都体现自己某一刻的体会或者想法,博客十年,也是自己的技术十年,总结了无数的开发心得和开发思路,或者有时候也很欣喜的介绍一下自己的劳动成果,辛苦与愉悦,伴随着时间慢慢沉淀. 由于热衷技术的原因,博客内容一般围绕某个技术点,或者某个主题进行介绍,逐渐也形成了几