剖析供應鍊攻擊的防範

摘要：近來供應鍊攻擊頻發，供應鍊攻擊和勒索軟體攻擊正成為黑客謀利的重要手段，照成的社會危害巨大。如何才能有效的防範供應鍊攻擊，正成為軟體供應商需要思考的問題，Google的SLSA供應鍊完整性架構，給了我們很多有益的參考。

1. 曆史上最大的勒索軟體攻擊

7月2日勒索組織REvil，攻擊了一家來自瑞典的IT管理服務提供商(managed service providers(MSP)) – Kaseya。

Kaseya的VSA(虛拟系統管理)是一個基于雲的管理服務提供商(MSP)平台，該平台為客戶提供了一套基于Web的新一代自動化IT系統管了解決方案。MSP通過建立自己的網絡運作中心(Network Operating Center(NOC))來為企業提供 24×7×365 的系統管理服務的業務。MSP可以實作對客戶的IT系統的進行遠端的管理、實時的監控、對企業系統運作情況進行統計，以及執行更新檔管理等。

Kaseya在全球已經擁有了超過10000家客戶，其中包括50%以上的全球100強IT管理服務提供商及各大龍頭企業，分别來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。全球有超過1300萬台以上的終端和裝置通過Kaseya的軟體進行管理。

REvil利用零日漏洞(CVE-2021-30116)攻陷MSP平台之後，向VSA内部推送了惡意更新，在企業網上部署了勒索軟體，導緻Kaseya遭受工具鍊攻擊。REvil宣稱鎖定了超過一百萬個系統，并願意就通用解密器進行談判，起價為7000萬美元，這是迄今為止開價最高的贖金。

• REvil頻繁作案：

• 2020年5月，REvil聲稱破譯了唐納德·特朗普公司用于保護其資料的橢圓曲線密碼術，并為他們盜竊的資料索要4200萬美元的贖金。
• 2021年3月18日，REvil附屬公司在網絡上聲稱，他們已從跨國硬體和電子公司宏碁安裝勒索軟體并盜取大量資料，并為此索取5000萬美元的贖金。
• 2021年3月27日，REvil攻擊哈裡斯聯盟，并在其部落格上釋出了聯盟的多份财務檔案。
• 2021年4月，REvil竊取了廣達電腦即将推出的蘋果産品的計劃，并威脅要公開釋出這些計劃，除非他們收到5000萬美元作為贖金。
• 2021年5月30日，全球最大肉類供應商JBS受到REvil勒索軟體的攻擊，該公司不得不将所有美國牛肉工廠暫時關閉，并中斷了家禽和豬肉工廠的營運。最終，JBS還是向REvil支付了1100萬美元的比特币贖金。
• 2021年6月11日，全球再生能源巨擘Invenergy證明其作業系統遭到了勒索軟體的攻擊，REvil聲稱對此事負責。

2. 近來供應鍊攻擊頻繁

• 2020/12，SolarWinds旗下軟體被用于供應鍊攻擊

  SolarWinds公司創辦于1999年，總部位于美國德克薩斯州奧斯汀，在多個國家設有銷售和産品開發辦事處，主要生産銷售網絡和系統監測管理類的軟體産品，為全球30萬家客戶服務，覆寫了政府、軍事、教育等大量重要機構和超過9成的世界500強企業，知名客戶清單包括：《美國财富》500強企業中的425家；美國十大電信公司；美軍所有五個分支；五角大樓，美國國務院，NASA，NSA，美國郵政局，NOAA，美國司法部和總統辦公室；美國前五名會計師事務；全球數百所大學等。

  據析大約有超過250 家美國聯邦機構和企業受到影響，其中包括美國财政部、美國NTIA，美國安全公司FireEye等，可以算得上是2020年最具影響力的供應鍊攻擊事件了。

• 2020/12,黑客組織FIN11利用AccellionFTA伺服器的多個0day漏洞攻擊全球上百家企業

  黑客利用4個安全缺陷攻擊AccellionFTA伺服器（FTA伺服器是一款在2000年時代開發的檔案共享工具，可使企業以簡單的方式和員工以及客戶共享檔案），安裝了一個名為“DEWMODE”的webshell，之後用于下載下傳存儲在受害者FTA裝置上的檔案。Accellion公司在新聞稿中指出，”在約300個FTA用戶端中，受害者不到100人，而其中不到25個人遭受嚴重的資料盜取事件。在這25個客戶中，某些客戶的FTA檔案分享伺服器遭攻擊後收到了勒索留言。攻擊者發送郵件要求支付比特币，或者在由Clop勒索團夥營運的網站上公開受害者資料。

• 2021/03,國際航空電信公司(SITA)受到供應鍊攻擊

  國際航空電信公司（SITA）占據全球90%航空份額的通信和IT廠商，存儲在該公司位于美國伺服器中的乘客資訊遭“高度複雜的攻擊”。受攻擊的伺服器位于亞特拉大，屬于SITA乘客服務系統(SITAPSS)。SITAPSS營運該系統是為了處理航空乘客資訊，為SITA多家總部位于歐盟的企業所有。星空聯盟（國際航空公司聯盟）的航空公司成員包括漢莎航空、紐西蘭航空和新加坡航空以及OneWorld成員國泰航空、芬蘭航空、日本航空和馬來西亞航空公司已經開始和受影響使用者通信，并表示，南韓航空公司濟州航空的乘客資料也遭攻陷。

3. 供應鍊攻擊

供應鍊攻擊是一種以軟體開發人員和供應商為目标的一種威脅, 攻擊者通過感染合法應用來分發惡意軟體來通路源代碼、建構過程或更新機制進而達到對開發人員和供應商進行攻擊的目的。

軟體供應鍊可劃分為開發、傳遞、運作三個大的環節，每個環節都可能會引入供應鍊安全風險進而遭受攻擊，上遊環節的安全問題會傳遞到下遊環節并被放大。

黑客往往通過攻陷某知名官網的伺服器，篡改其伺服器上所提供的軟體源代碼，使得這些軟體在被使用者下載下傳後安裝時觸發惡意行為。這些攜帶惡意代碼的軟體來自受信任的分發管道，攜帶着相應的供應商數字簽名，使得惡意程式的隐蔽性大大增強，安全檢測難度加大。

當攻擊者通過供應鍊攻擊散播的惡意軟體是以加密技術鎖住系統資料，并藉此勒索企業，就構成了勒索軟體攻擊。通常當供應鍊攻擊和勒索軟體攻擊被一起使用時，會造成更大的危害。

例如，對于Kaseya的攻擊，安全公司Huntress Labs在Reddit上釋出了一篇文章，詳細介紹Kaseya VSA入侵的工作原理，該木馬軟體以Kaseya VSA Agent Hot-fix的形式釋出，通過Kaseya的MSP管理平台，将更新檔分發到Kaseya用于客戶管理的虛拟機VSA上，進而完成惡意軟體對客戶關鍵資訊的加密和勒索。

• 供應鍊攻擊的典型攻擊方法

《2020年中國網絡安全報告》稱供應鍊攻擊已成為2020年最具影響力的進階威脅之一。

4. 供應鍊攻擊的防範

4.1. Google的SLSA供應鍊完整性架構

6月16日，Google在安全部落格上發表了一篇《Introducing SLSA, an End-to-End Framework for Supply Chain Integrity》部落格，介紹了一個叫SLSA(莎莎(讀音salsa))的用來檢測端到端供應鍊完整性的架構。

• SLSA解決的問題：

• 軟體生産商想要保護他們的供應鍊，但不知道具體如何；
• 軟體消費者希望了解并限制他們遭受供應鍊攻擊的風險，但沒有辦法這樣做；
• 單獨的工件簽名隻能防止我們關心的攻擊的一個子集

• SLSA制定的标準是軟體生産者和消費者的指導原則：

• 軟體生産者可以遵循這些準則來使他們的軟體更加安全；
• 軟體消費者可以根據軟體包的安全狀況做出決定。

SLSA是一套可逐漸采用的安全指南，由行業共識建立。SLSA是用來防止普通供應鍊攻擊，明确列舉了開發過程中各個環節可能受到的攻擊，并将這些攻擊點标注為A到H共8個攻擊點；同時對開發過程中的三個輸出中間件：原碼（source）、依賴（dependency）和包（package）通過安全等級的劃分來展現供應鍊的完整性強度。SLSA的四個級别旨在增量和可操作，并防止特定的完整性攻擊。SLSA 4代表理想的最終狀态，較低的級别代表具有相應完整性保證的裡程碑。

4.2. 開發過程供應鍊威脅

• 開發過程供應鍊威脅圖

• 圖中的相關定義

• 特例:

• 包含源碼的zip包是一個包，不是源。因為這個檔案是由其他源碼建構産生的。例如一個git送出的zip檔案.

• 開發過程供應鍊威脅描述

4.3. SLSA的安全級别

中間件的SLSA級别描述了其直接供應鍊的完整性強度，主要有四個SLSA級别。SLSA 4是目前最進階别，代表理想的終極狀态。SLSA 1–3提供較低的安全保證，但更容易滿足要求。根據Google的經驗，實作SLSA 4可能需要很多年和大量的努力，是以中間裡程碑是重要的。

• 級别定義

4.4. SLSA安全級别的要求

SLSA給達到每個級别定義了實作要求，具體如下：

4.5. 應用舉例

下圖是SLSA給出的應用舉例，可以看到每個傳遞的中間件都有一個自身的hash值和出處的定義，進而保證整個中間件的可追溯和可驗證。

5. 總結

• 供應鍊攻擊正成為危害最大的網絡威脅之一，且發生的頻率正在上升；
• 供應鍊攻擊由于擁有上遊的正式釋出管道和有效的簽名，作為下遊的使用者防範困難；
• 作為軟體的開發者，在做好開源軟體缺陷的管理之外，還要提高自身的風險管理能力，能夠識别開發過程中惡意的變動，并觸發追查和防範措施；
• Google的SLSA供應鍊完整性架構，全面的考慮了供應鍊的各個環節可能引入的安全威脅，提供了防止供應鍊攻擊的一種有效的方法；
• Google的SLSA供應鍊完整性架構，可以成為我們開發過程中防範供應鍊攻擊的一個很好的借鑒；

6. 參考

• 微軟安全供應鍊攻擊
• Google:IntroducingSLSA,anEnd-to-EndFrameworkforSupplyChainIntegrity
• 2021-07-05勒索組織REvil發起供應鍊攻擊，索要7000萬美元贖金
• 2021-03-07大規模供應鍊攻擊攻陷了數家航空公司
• 2020-12-16SolarWinds旗下軟體被用于供應鍊攻擊事件分析
• 洞見RSA2021｜備受熱捧的“供應鍊攻擊”如何防禦？
• 5-ways-your-software-supply-chain-is-out-to-get-you-part-5-hostile-takeover
• rsa創新沙盒盤點-apiiro-代碼風險平台
• top-5-tips-to-prevent-the-solarwinds-solorigate-attack
• 解讀6種最常見的軟體供應鍊攻擊類型

​​點選關注，第一時間了解華為雲新鮮技術~​​