武新沂

隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的提高，攻擊者要想再利用以前的攻擊技術(shù)來獲得成功，越來越難了。所以黑客也正在琢磨著提高攻擊成功率的方法，例如利用用戶對軟件供應(yīng)商的信任等。

大多數(shù)用戶認(rèn)為，只要軟件供應(yīng)商值得信賴，那他們的產(chǎn)品也一定沒有安全問題。而攻擊者正是利用了這個(gè)心理，發(fā)起了所謂的“供應(yīng)鏈攻擊”，因此在安裝軟件或更新時(shí)，用戶時(shí)刻都要仔細(xì)檢查源代碼站點(diǎn)，以確保它是合法的，只有這樣才能讓代碼放心地在我們的計(jì)算機(jī)上運(yùn)行。隨著開發(fā)人員對軟件和網(wǎng)頁的防護(hù)能力越來強(qiáng)，在過去幾年中，黑客越來越多地是利用這種供應(yīng)鏈信任來傳播惡意軟件。

近期，在不到一周的時(shí)間里，研究人員發(fā)現(xiàn)了兩起新的利用供應(yīng)鏈進(jìn)行攻擊的事件。

第一個(gè)涉及到VestaCP，這是一個(gè)系統(tǒng)管理員用來管理服務(wù)器的控制面板界面。Censys執(zhí)行的互聯(lián)網(wǎng)掃描顯示，目前有超過132 000個(gè)未過期的TLS證書可以保護(hù)VestaCP用戶。根據(jù)安全公司Eset最近發(fā)布的一篇帖子，有未知的攻擊者破壞了VestaCP服務(wù)器并利用他們的訪問權(quán)限，對可下載的安裝程序進(jìn)行了惡意更改。

供應(yīng)鏈攻擊過程

Eset惡意軟件研究員Marc-étienneM.Léveillé表示：VestaCP安裝腳本被攻擊者修改后，可以在安裝成功后向vestacp.com報(bào)告生成的管理員憑證。我們并不確切知道這種情況是何時(shí)發(fā)生的，但修改后的安裝腳本在2018年5月31日～ 6月13日期間，已經(jīng)出現(xiàn)在了GitHub上的源代碼管理中。

目前，對這個(gè)攻擊還在進(jìn)一步研究中，在調(diào)查完成之前，仍然不清楚攻擊是如何發(fā)生的。根據(jù)Léveillé的初步調(diào)查結(jié)果，黑客最有可能是通過利用VestaCP軟件或用于傳播它的服務(wù)器中的關(guān)鍵漏洞開始的，這使得攻擊者可以自行控制攻擊過程。也就是在此期間，攻擊者將密碼嗅探函數(shù)添加到安裝源代碼中，此時(shí)VestaCP軟件已經(jīng)包含了從用戶服務(wù)器向vestacp.com網(wǎng)站發(fā)送統(tǒng)計(jì)信息的代碼。

Léveillé認(rèn)為惡意代碼只是添加了一些難以解密的代碼行，這些代碼行導(dǎo)致密碼被包含在其中，然后攻擊者利用對VestaCP網(wǎng)絡(luò)的控制來檢索被盜密碼。研究人員說，雖然這種方法更復(fù)雜，但安全檢測方案更難在源代碼中檢測到惡意代碼。對此，Leveille說：“攻擊者可能會(huì)使用密碼通過其安全shell界面登錄服務(wù)器。”

使用SSH，攻擊者就可以用ChachaDDoS感染服務(wù)器，ChachaDDoS是一種相對較新的惡意軟件，用于對其他網(wǎng)站進(jìn)行拒絕服務(wù)攻擊。該惡意軟件提供了各種高級功能，包括防止管理員在服務(wù)器上查找和分析它的方法。Chacha運(yùn)行在32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC上。近日安全公司Sophos的研究人員公布了一個(gè)新發(fā)現(xiàn)的DDoS僵尸網(wǎng)絡(luò)，他們稱之為Chalubo，幾乎可以肯定它運(yùn)行的是Eset描述的Chacha惡意軟件。

當(dāng)時(shí)對VestaCP供應(yīng)鏈的攻擊最少已經(jīng)有14天了，因?yàn)樵创a中記錄時(shí)間是14天。類似的帖子顯示，VestaCP用戶早在2018年4月初就報(bào)告了服務(wù)器遭到黑客攻擊，這比Eset列出的5月31日早了近兩個(gè)月。類似這樣的討論表明，在之前惡意修改的代碼從源代碼中刪除之后，影響VestaCP用戶的攻擊仍在繼續(xù)。

利用ClipboardHijacking軟件潛入PyPI

第二個(gè)供應(yīng)鏈攻擊涉及一個(gè)惡意軟件包，該軟件包已被插入到了廣泛使用Python編程語言的官方存儲(chǔ)庫中。被稱為“Colourama”的軟件包看起來與Colorama類似，Colorama是Python存儲(chǔ)庫中下載量最多的20個(gè)合法模塊之一。Doppelg NgerColourama軟件包包含合法模塊的大多數(shù)合法函數(shù)，但與Colorama有一個(gè)顯著區(qū)別：Colourama添加的代碼在Windows服務(wù)器上運(yùn)行時(shí)安裝了這個(gè)Visual Basic腳本。它會(huì)不斷監(jiān)控服務(wù)器的剪貼板，以獲取用戶支付加密貨幣的線索。惡意腳本觸發(fā)后，該腳本會(huì)將支付信息從剪貼板中包含的錢包地址轉(zhuǎn)移到攻擊者擁有的錢包。

在過去的六個(gè)月里，隱藏在PyPI的ClipboardHijacking軟件已被下載了171次（不包括鏡像站點(diǎn)），被感染的服務(wù)器不僅必須刪除惡意的Colourama模塊，還必須進(jìn)行注冊表更改以清除Visual Basic腳本。

根據(jù)目前所掌握的證據(jù)，兩個(gè)新發(fā)現(xiàn)的供應(yīng)鏈攻擊都沒有發(fā)生大規(guī)模的感染。但這并不代表供應(yīng)鏈攻擊的威力不大，在2017年爆發(fā)的NotPetya攻擊，已被專家形容為一種網(wǎng)絡(luò)戰(zhàn)爭。

業(yè)內(nèi)專家預(yù)測，供應(yīng)鏈攻擊在將來會(huì)更加普遍，如果可能的話，用戶應(yīng)該考慮掃描所有下載的安裝程序和更新，并密切關(guān)注其名稱的變化，以確保它們與自己要安裝的合法模塊相匹。