关于安全:剖析供应链攻击的防范

摘要：近来供应链攻打频发，供应链攻打和勒索软件攻打正成为黑客谋利的重要伎俩，照成的社会危害微小。如何能力无效的防备供应链攻打，正成为软件供应商须要思考的问题，Google 的 SLSA 供应链完整性框架，给了咱们很多无益的参考。

本文分享自华为云社区《供应链攻打的防备》，原文作者：Uncle_Tom。

1. 历史上最大的勒索软件攻打

7 月 2 日勒索组织 REvil，攻打了一家来自瑞典的 IT 治理服务提供商(managed service providers(MSP)) – Kaseya。

Kaseya 的 VSA(虚构系统管理)是一个基于云的治理服务提供商 (MSP) 平台，该平台为客户提供了一套基于 Web 的新一代自动化 IT 系统管理解决方案。MSP 通过建设本人的网络运作核心 (Network Operating Center(NOC)) 来为企业提供 24×7×365 的系统管理服务的业务。MSP 能够实现对客户的 IT 零碎的进行近程的治理、实时的监控、对企业零碎运作状况进行统计，以及执行补丁治理等。

Kaseya 在寰球曾经领有了超过 10000 家客户，其中包含 50% 以上的寰球 100 强 IT 治理服务提供商及各大龙头企业，别离来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等畛域。寰球有超过 1300 万台以上的终端和设施通过 Kaseya 的软件进行治理。

REvil 利用零日破绽 (CVE-2021-30116) 攻陷 MSP 平台之后，向 VSA 外部推送了歹意更新，在企业网上部署了勒索软件，导致 Kaseya 蒙受工具链攻打。REvil 声称锁定了超过一百万个零碎，并违心就通用解密器进行谈判，起价为 7000 万美元，这是迄今为止开价最高的赎金。

• REvil 频繁作案：

  • 2020 年 5 月，REvil 宣称破译了唐纳德·特朗普公司用于爱护其数据的椭圆曲线密码术，并为他们偷盗的数据索要 4200 万美元的赎金。
  • 2021 年 3 月 18 日，REvil 从属公司在网络上宣称，他们已从跨国硬件和电子公司宏碁装置勒索软件并盗取大量数据，并为此索取 5000 万美元的赎金。
  • 2021 年 3 月 27 日，REvil 攻打哈里斯联盟，并在其博客上公布了联盟的多份财务文件。
  • 2021 年 4 月，REvil 窃取了广达电脑行将推出的苹果产品的打算，并威逼要公开公布这些打算，除非他们收到 5000 万美元作为赎金。
  • 2021 年 5 月 30 日，寰球最大肉类供应商 JBS 受到 REvil 勒索软件的攻打，该公司不得不将所有美国牛肉工厂临时敞开，并中断了家禽和猪肉工厂的经营。最终，JBS 还是向 REvil 领取了 1100 万美元的比特币赎金。
  • 2021 年 6 月 11 日，寰球再生能源巨擘 Invenergy 证实其作业系统受到了勒索软件的攻打，REvil 宣称对此事负责。

2. 近来供应链攻打频繁

• 2020/12，SolarWinds 旗下软件被用于供应链攻打
  SolarWinds 公司开办于 1999 年，总部位于美国德克萨斯州奥斯汀，在多个国家设有销售和产品开发办事处，次要生产销售网络和零碎监测治理类的软件产品，为寰球 30 万家客户服务，笼罩了政府、军事、教育等大量重要机构和超过 9 成的世界 500 强企业，出名客户清单包含：《美国财产》500 强企业中的 425 家；美国十大电信公司；美军所有五个分支；五角大楼，美国国务院，NASA，NSA，美国邮政局，NOAA，美国司法部和总统办公室；美国前五名会计师事务；寰球数百所大学等。
  据析大概有超过 250 家美国联邦机构和企业受到影响，其中包含美国财政部、美国 NTIA，美国平安公司 FireEye 等，能够算得上是 2020 年最具影响力的供应链攻打事件了。
• 2020/12, 黑客组织 FIN11 利用 AccellionFTA 服务器的多个 0day 破绽攻打寰球上百家企业
  黑客利用 4 个平安缺点攻打 AccellionFTA 服务器（FTA 服务器是一款在 2000 年时代开发的文件共享工具，可使企业以简略的形式和员工以及客户共享文件），装置了一个名为“DEWMODE”的 webshell，之后用于下载存储在受害者 FTA 设施上的文件。Accellion 公司在新闻稿中指出，”在约 300 个 FTA 客户端中，受害者不到 100 人，而其中不到 25 集体蒙受重大的数据盗取事件。在这 25 个客户中，某些客户的 FTA 文件分享服务器遭攻打后收到了勒索留言。攻击者发送邮件要求领取比特币，或者在由 Clop 勒索团伙经营的网站上公开受害者数据。
• 2021/03, 国际航空电信公司 (SITA) 受到供应链攻打
  国际航空电信公司（SITA）占据寰球 90% 航空份额的通信和 IT 厂商，存储在该公司位于美国服务器中的乘客信息遭“高度简单的攻打”。受攻打的服务器位于亚特拉大，属于 SITA 乘客服务零碎(SITAPSS)。SITAPSS 经营该零碎是为了解决航空乘客信息，为 SITA 多家总部位于欧盟的企业所有。星空联盟（国际航空公司联盟）的航空公司成员包含汉莎航空、新西兰航空和新加坡航空以及 OneWorld 成员国泰航空、芬兰航空、日本航空和马来西亚航空公司曾经开始和受影响用户通信，并示意，韩国航空公司济州航空的乘客数据也遭攻陷。

3. 供应链攻打

供应链攻打是一种以软件开发人员和供应商为指标的一种威逼, 攻击者通过感化非法利用来散发恶意软件来拜访源代码、构建过程或更新机制从而达到对开发人员和供应商进行攻打的目标。

软件供应链可划分为开发、交付、运行三个大的环节，每个环节都可能会引入供应链平安危险从而蒙受攻打，上游环节的平安问题会传递到上游环节并被放大。

黑客往往通过攻陷某出名官网的服务器，篡改其服务器上所提供的软件源代码，使得这些软件在被用户下载后装置时触发歹意行为。这些携带恶意代码的软件来自受信赖的散发渠道，携带着相应的供应商数字签名，使得恶意程序的隐蔽性大大加强，平安检测难度加大。

当攻击者通过供应链攻打散播的恶意软件是以加密技术锁住零碎材料，并藉此勒索企业，就形成了勒索软件攻打。通常当供应链攻打和勒索软件攻打被一起应用时，会造成更大的危害。

例如，对于 Kaseya 的攻打，平安公司 Huntress Labs 在 Reddit 上公布了一篇帖子，具体介绍 Kaseya VSA 入侵的工作原理，该木马软件以 Kaseya VSA Agent Hot-fix 的模式公布，通过 Kaseya 的 MSP 治理平台，将补丁散发到 Kaseya 用于客户治理的虚拟机 VSA 上，从而实现恶意软件对客户要害信息的加密和勒索。

• 供应链攻打的典型攻打办法
  

《2020 年中国网络安全报告》称供应链攻打已成为 2020 年最具影响力的高级威逼之一。

4. 供应链攻打的防备

4.1. Google 的 SLSA 供应链完整性框架

6 月 16 日，Google 在平安博客上发表了一篇《Introducing SLSA, an End-to-End Framework for Supply Chain Integrity》博客，介绍了一个叫 SLSA(莎莎 (读音 salsa)) 的用来检测端到端供应链完整性的框架。

• SLSA 解决的问题：

  • 软件生产商想要爱护他们的供应链，但不晓得具体如何；
  • 软件消费者心愿理解并限度他们蒙受供应链攻打的危险，但没有方法这样做；
  • 独自的工件签名只能避免咱们关怀的攻打的一个子集

• SLSA 制订的规范是软件生产者和消费者的领导准则：

  • 软件生产者能够遵循这些准则来使他们的软件更加平安；
  • 软件消费者能够依据软件包的平安情况做出决定。

SLSA 是一套可逐渐采纳的平安指南，由行业共识建设。SLSA 是用来避免一般供应链攻打，明确列举了开发过程中各个环节可能受到的攻打，并将这些攻击点标注为 A 到 H 共 8 个攻击点；同时对开发过程中的三个输入中间件：原码（source）、依赖（dependency）和包（package）通过安全等级的划分来体现供应链的完整性强度。SLSA 的四个级别旨在增量和可操作，并避免特定的完整性攻打。SLSA 4 代表现实的最终状态，较低的级别代表具备相应完整性保障的里程碑。

4.2. 开发过程供应链威逼

• 开发过程供应链威逼图
  
• 图中的相干定义
  

• 特例:

  • 蕴含源码的 zip 包是一个包，不是源。因为这个文件是由其余源码构建产生的。例如一个 git 提交的 zip 文件.
• 开发过程供应链威逼形容
  

4.3. SLSA 的安全级别

中间件的 SLSA 级别形容了其间接供应链的完整性强度，次要有四个 SLSA 级别。SLSA 4 是以后最高级别，代表现实的终极状态。SLSA 1–3 提供较低的平安保障，但更容易满足要求。依据 Google 的教训，实现 SLSA 4 可能须要很多年和大量的致力，因而两头里程碑是重要的。

• 级别定义
  

4.4. SLSA 安全级别的要求

SLSA 给达到每个级别定义了实现要求，具体如下：

4.5. 利用举例

下图是 SLSA 给出的利用举例，能够看到每个交付的中间件都有一个本身的 hash 值和出处的定义，从而保障整个中间件的可追溯和可验证。

5. 总结

• 供应链攻打正成为危害最大的网络威逼之一，且产生的频率正在回升；
• 供应链攻打因为领有上游的正式公布渠道和无效的签名，作为上游的使用者防备艰难；
• 作为软件的开发者，在做好开源软件缺陷的治理之外，还要进步本身的风险管理能力，可能辨认开发过程中歹意的变动，并触发追究和防范措施；
• Google 的 SLSA 供应链完整性框架，全面的思考了供应链的各个环节可能引入的平安威逼，提供了避免供应链攻打的一种无效的办法；
• Google 的 SLSA 供应链完整性框架，能够成为咱们开发过程中防备供应链攻打的一个很好的借鉴；

6. 参考

• 微软平安供应链攻打
• Google:IntroducingSLSA,anEnd-to-EndFrameworkforSupplyChainIntegrity
• 2021-07-05 勒索组织 REvil 发动供应链攻打，索要 7000 万美元赎金
• 2021-03-07 大规模供应链攻打攻陷了数家航空公司
• 2020-12-16SolarWinds 旗下软件被用于供应链攻打事件剖析
• 洞见 RSA2021|备受热捧的“供应链攻打”如何进攻？
• 5-ways-your-software-supply-chain-is-out-to-get-you-part-5-hostile-takeover
• rsa 翻新沙盒盘点 -apiiro- 代码危险平台
• top-5-tips-to-prevent-the-solarwinds-solorigate-attack
• 解读 6 种最常见的软件供应链攻打类型

点击关注，第一工夫理解华为云陈腐技术~