下载掌阅APP,畅读海量书库
立即打开
软件供应链攻击面广,攻击者可以通过在软件开发、分发、部署等各个环节插入恶意代码或进行其他潜在的攻击行为。在开发环节,攻击者可以在软件开发过程中插入恶意代码,从而在部署和使用阶段执行恶意操作,并且可以针对使用的第三方组件、库或框架进行攻击。在分发环节,攻击者可以在软件分发过程中植入恶意文件,如恶意附件、下载链接,欺骗用户执行恶意代码或者篡改软件以包含恶意功能或后门。在部署环节,攻击者可以在部署时修改配置文件,以实现恶意操作,如数据窃取、拒绝服务等。在更新和维护环节攻击者可以针对软件的更新通道进行攻击,向用户分发恶意更新。软件供应链攻击面广使防御变得更加困难,因为不同环节的安全性都需要被重视,而供应链中的每个环节都可能成为攻击者的目标。
另外,软件供应链攻击门槛低,在开发、测试、打包、分发、部署等许多环节涉及多个参与者,攻击者可以选择攻击其中的任何一个环节,从而影响整个供应链。这些环节通常是分散管理的,攻击者可以找到相对容易的入口点,如组件是由其他开发者维护的,攻击者无须从头构建攻击工具或漏洞,降低了攻击门槛,又或是在软件更新或第三方组件中植入恶意代码,然后传播到用户设备。这样的攻击方式相对容易实施,因为攻击者只需找到一个薄弱环节即可,因此软件供应链攻击门槛也是相对较低的。
2018年的ASUS供应链攻击事件,攻击者通过篡改ASUS Live Update软件更新机制的方式入侵了ASUS服务器,这意味着在ASUS Live Update软件的正常更新过程中,用户下载和安装的并非官方发布的安全更新,而是植入了恶意代码的版本,向大量用户分发了被篡改过的恶意软件,该攻击事件暴露了ASUS Live Update软件的供应链安全漏洞,导致数以百万计的ASUS用户在无意中下载和安装了恶意软件,导致数百万用户个人信息泄露。
软件供应链攻击的隐蔽性强,攻击者可以通过篡改、替换、伪装等手段在软件供应链的各个环节中潜伏和攻击,难以被及时发现和防御。在开发过程中,开发者可能会忽视上游组件的安全问题,潜意识地认为这些组件都是来自可信的来源,从而忽略了这些组件的潜在威胁。
在2017年,CCleaner的供应链遭到攻击。攻击者通过篡改CCleaner的更新过程,在正常的软件更新中植入了恶意代码。这个恶意代码的目标是特定的大型科技公司和软件企业。CCleaner的声誉良好,并且许多用户会自动更新软件,因此这次攻击的隐蔽性非常高,很多用户在不知情的情况下下载了被感染的软件。
软件供应链攻击的传播性强,攻击者只需要在上游组件中植入恶意代码,就可以影响整个软件生态系统,对软件供应链中的其他环节和用户造成了广泛的影响。同时,由于现代软件开发过程中常常会使用许多第三方组件和库,因此攻击者可以通过篡改其中任意一个组件来攻击整个软件生态系统。
例如,2017年的NotPetya攻击事件,攻击者利用乌克兰会计软件公司M.E.Doc的更新服务器发布了恶意软件,该恶意软件以WannaCry勒索病毒为基础,利用EternalBlue漏洞进行传播,最终导致数千个组织受到影响,包括美国联邦快递、法国建筑公司Saint-Gobain、德国化工公司BASF等。根据估计,NotPetya攻击事件造成的经济损失超过100亿美元。
随着人工智能和自动化技术的发展,攻击者可以利用这些技术来更快速地发现漏洞和弱点,并快速展开攻击行动,从而使防御方的反应时间更加有限。攻击者善于利用新技术发起软件供应链攻击,如零日漏洞、高级持久性威胁APT等,绕过目标系统的安全防御,使得攻击更具针对性和隐蔽性,从而增加了攻击的难以防范性精准的攻击技术。
SolarWinds供应链攻击是一起重大的软件供应链攻击事件,攻击者通过篡改SolarWinds Orion软件的更新过程,在软件更新中植入了恶意代码。这个攻击事件被称为“SUNBURST”或“Solorigate”。攻击者利用这个恶意代码来监控和渗透受影响的组织,包括美国政府部门、企业和其他组织。这次攻击是由一个国家级的高级持续威胁(APT)组织发起的,被认为是迄今为止最为严重的软件供应链攻击之一。软件供应链攻击利用的技术越来越复杂和隐蔽,防范这类攻击变得非常具有挑战性。