剖析供應鍊攻擊的防範

摘要：近來供應鍊***頻發，供應鍊***和勒索軟體***正成為***謀利的重要手段，造成的社會危害巨大。如何才能有效的防範供應鍊***，正成為軟體供應商需要思考的問題，Google 的 SLSA 供應鍊完整性架構，給了我們很多有益的參考。

本文分享自華為雲社群《供應鍊***的防範》，原文作者：Uncle_Tom 。

1. 曆史上最大的勒索軟體***

7 月 2 日勒索組織 REvil，***了一家來自瑞典的 IT 管理服務提供商(managed service providers(MSP)) – Kaseya。

Kaseya 的 VSA(虛拟系統管理)是一個基于雲的管理服務提供商(MSP)平台，該平台為客戶提供了一套基于 Web 的新一代自動化 IT 系統管了解決方案。MSP 通過建立自己的網絡運作中心(Network Operating Center(NOC))來為企業提供 24×7×365 的系統管理服務的業務。MSP 可以實作對客戶的 IT 系統的進行遠端的管理、實時的監控、對企業系統運作情況進行統計，以及執行更新檔管理等。

Kaseya 在全球已經擁有了超過 10000 家客戶，其中包括 50%以上的全球 100 強 IT 管理服務提供商及各大龍頭企業，分别來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。全球有超過 1300 萬台以上的終端和裝置通過 Kaseya 的軟體進行管理。

REvil 利用零日漏洞(CVE-2021-30116)攻陷 MSP 平台之後，向 VSA 内部推送了惡意更新，在企業網上部署了勒索軟體，導緻 Kaseya 遭受工具鍊***。REvil 宣稱鎖定了超過一百萬個系統，并願意就通用解密器進行談判，起價為 7000 萬美元，這是迄今為止開價最高的贖金。

REvil 頻繁作案：

• 2020 年 5 月，REvil 聲稱破譯了唐納德·特朗普公司用于保護其資料的橢圓曲線密碼術，并為他們盜竊的資料索要 4200 萬美元的贖金。
• 2021 年 3 月 18 日，REvil 附屬公司在網絡上聲稱，他們已從跨國硬體和電子公司宏碁安裝勒索軟體并盜取大量資料，并為此索取 5000 萬美元的贖金。
• 2021 年 3 月 27 日，REvil ***哈裡斯聯盟，并在其部落格上釋出了聯盟的多份财務檔案。
• 2021 年 4 月，REvil 竊取了廣達電腦即将推出的蘋果産品的計劃，并威脅要公開釋出這些計劃，除非他們收到 5000 萬美元作為贖金。
• 2021 年 5 月 30 日，全球最大肉類供應商 JBS 受到 REvil 勒索軟體的***，該公司不得不将所有美國牛肉工廠暫時關閉，并中斷了家禽和豬肉工廠的營運。最終，JBS 還是向 REvil 支付了 1100 萬美元的比特币贖金。
• 2021 年 6 月 11 日，全球再生能源巨擘 Invenergy 證明其作業系統遭到了勒索軟體的***，REvil 聲稱對此事負責。

2. 近來供應鍊***頻繁

• 2020/12，SolarWinds 旗下軟體被用于供應鍊***

SolarWinds 公司創辦于 1999 年，總部位于美國德克薩斯州奧斯汀，在多個國家設有銷售和産品開發辦事處，主要生産銷售網絡和系統監測管理類的軟體産品，為全球 30 萬家客戶服務，覆寫了政府、軍事、教育等大量重要機構和超過 9 成的世界 500 強企業，知名客戶清單包括：《美國财富》500 強企業中的 425 家；美國十大電信公司；美軍所有五個分支；五角大樓，美國國務院，NASA，NSA，美國郵政局，NOAA，美國司法部和總統辦公室；美國前五名會計師事務；全球數百所大學等。

據析大約有超過 250 家美國聯邦機構和企業受到影響，其中包括美國财政部、美國 NTIA，美國安全公司 FireEye 等，可以算得上是 2020 年最具影響力的供應鍊***事件了。

• 2020/12,***組織 FIN11 利用 AccellionFTA 伺服器的多個 0day 漏洞***全球上百家企業

***利用 4 個安全缺陷*** AccellionFTA 伺服器（FTA 伺服器是一款在 2000 年時代開發的檔案共享工具，可使企業以簡單的方式和員工以及客戶共享檔案），安裝了一個名為“DEWMODE”的 webshell，之後用于下載下傳存儲在受害者 FTA 裝置上的檔案。Accellion 公司在新聞稿中指出，”在約 300 個 FTA 用戶端中，受害者不到 100 人，而其中不到 25 個人遭受嚴重的資料盜取事件。在這 25 個客戶中，某些客戶的 FTA 檔案分享伺服器遭***後收到了勒索留言。***者發送郵件要求支付比特币，或者在由 Clop 勒索團夥營運的網站上公開受害者資料。

• 2021/03,國際航空電信公司(SITA)受到供應鍊***

國際航空電信公司（SITA）占據全球 90%航空份額的通信和 IT 廠商，存儲在該公司位于美國伺服器中的乘客資訊遭“高度複雜的***”。受***的伺服器位于亞特拉大，屬于 SITA 乘客服務系統(SITAPSS)。SITAPSS 營運該系統是為了處理航空乘客資訊，為 SITA 多家總部位于歐盟的企業所有。星空聯盟（國際航空公司聯盟）的航空公司成員包括漢莎航空、紐西蘭航空和新加坡航空以及 OneWorld 成員國泰航空、芬蘭航空、日本航空和馬來西亞航空公司已經開始和受影響使用者通信，并表示，南韓航空公司濟州航空的乘客資料也遭攻陷。

3. 供應鍊***

供應鍊***是一種以軟體開發人員和供應商為目标的一種威脅, ***者通過感染合法應用來分發惡意軟體來通路源代碼、建構過程或更新機制進而達到對開發人員和供應商進行***的目的。

軟體供應鍊可劃分為開發、傳遞、運作三個大的環節，每個環節都可能會引入供應鍊安全風險進而遭受***，上遊環節的安全問題會傳遞到下遊環節并被放大。

***往往通過攻陷某知名官網的伺服器，篡改其伺服器上所提供的軟體源代碼，使得這些軟體在被使用者下載下傳後安裝時觸發惡意行為。這些攜帶惡意代碼的軟體來自受信任的分發管道，攜帶着相應的供應商數字簽名，使得惡意程式的隐蔽性大大增強，安全檢測難度加大。

當***者通過供應鍊***散播的惡意軟體是以加密技術鎖住系統資料，并藉此勒索企業，就構成了勒索軟體***。通常當供應鍊***和勒索軟體***被一起使用時，會造成更大的危害。

例如，對于 Kaseya 的***，安全公司 Huntress Labs 在 Reddit 上釋出了一篇文章，詳細介紹 Kaseya VSA ***的工作原理，該***軟體以 Kaseya VSA Agent Hot-fix 的形式釋出，通過 Kaseya 的 MSP 管理平台，将更新檔分發到 Kaseya 用于客戶管理的虛拟機 VSA 上，進而完成惡意軟體對客戶關鍵資訊的加密和勒索。

• 供應鍊***的典型***方法

《2020 年中國網絡安全報告》稱供應鍊***已成為 2020 年最具影響力的進階威脅之一。

4. 供應鍊***的防範

4.1. Google 的 SLSA 供應鍊完整性架構

6 月 16 日，Google 在安全部落格上發表了一篇《Introducing SLSA, an End-to-End Framework for Supply Chain Integrity》部落格，介紹了一個叫 SLSA(莎莎(讀音 salsa))的用來檢測端到端供應鍊完整性的架構。

SLSA 解決的問題：

• 軟體生産商想要保護他們的供應鍊，但不知道具體如何；
• 軟體消費者希望了解并限制他們遭受供應鍊***的風險，但沒有辦法這樣做；
• 單獨的工件簽名隻能防止我們關心的***的一個子集
• SLSA 制定的标準是軟體生産者和消費者的指導原則：
• 軟體生産者可以遵循這些準則來使他們的軟體更加安全；
• 軟體消費者可以根據軟體包的安全狀況做出決定。

SLSA 是一套可逐漸采用的安全指南，由行業共識建立。SLSA 是用來防止普通供應鍊***，明确列舉了開發過程中各個環節可能受到的***，并将這些***點标注為 A 到 H 共 8 個***點；同時對開發過程中的三個輸出中間件：原碼（source）、依賴（dependency）和包（package）通過安全等級的劃分來展現供應鍊的完整性強度。SLSA 的四個級别旨在增量和可操作，并防止特定的完整性***。SLSA 4 代表理想的最終狀态，較低的級别代表具有相應完整性保證的裡程碑。

4.2. 開發過程供應鍊威脅

• 開發過程供應鍊威脅圖

• 圖中的相關定義

• 特例:

包含源碼的 zip 包是一個包，不是源。因為這個檔案是由其他源碼建構産生的。例如一個 git 送出的 zip 檔案

• 開發過程供應鍊威脅描述

4.3. SLSA 的安全級别

中間件的 SLSA 級别描述了其直接供應鍊的完整性強度，主要有四個 SLSA 級别。SLSA 4 是目前最進階别，代表理想的終極狀态。SLSA 1–3 提供較低的安全保證，但更容易滿足要求。根據 Google 的經驗，實作 SLSA 4 可能需要很多年和大量的努力，是以中間裡程碑是重要的。

• 級别定義

4.4. SLSA 安全級别的要求

SLSA 給達到每個級别定義了實作要求，具體如下：

4.5. 應用舉例

下圖是 SLSA 給出的應用舉例，可以看到每個傳遞的中間件都有一個自身的 hash 值和出處的定義，進而保證整個中間件的可追溯和可驗證。

5. 總結

• 供應鍊***正成為危害最大的網絡威脅之一，且發生的頻率正在上升；
• 供應鍊***由于擁有上遊的正式釋出管道和有效的簽名，作為下遊的使用者防範困難；
• 作為軟體的開發者，在做好開源軟體缺陷的管理之外，還要提高自身的風險管理能力，能夠識别開發過程中惡意的變動，并觸發追查和防範措施；
• Google 的 SLSA 供應鍊完整性架構，全面的考慮了供應鍊的各個環節可能引入的安全威脅，提供了防止供應鍊***的一種有效的方法；
• Google 的 SLSA 供應鍊完整性架構，可以成為我們開發過程中防範供應鍊***的一個很好的借鑒；

6. 參考

• 微軟安全供應鍊***
• Google:IntroducingSLSA,anEnd-to-EndFrameworkforSupplyChainIntegrity
• 2021-07-05 勒索組織 REvil 發起供應鍊***，索要 7000 萬美元贖金
• 2021-03-07 大規模供應鍊***攻陷了數家航空公司
• 2020-12-16SolarWinds 旗下軟體被用于供應鍊***事件分析
• 洞見 RSA2021｜備受熱捧的“供應鍊***”如何防禦？
• 5-ways-your-software-supply-chain-is-out-to-get-you-part-5-hostile-takeover
• rsa 創新沙盒盤點-apiiro-代碼風險平台
• top-5-tips-to-prevent-the-solarwinds-solorigate-attack
• 解讀 6 種最常見的軟體供應鍊***類型