近年来典型软件供应链攻击安全事件列举介绍

软件供应链的开发环节、交付环节、使用环节都存在受攻击的风险，影响到最终的软件产品和整个使用场景的安全。以下是从各环节的角度，列举了典型的基于软硬件供应链的攻击所造的重大安全事件。

一、针对开发工具的污染

Xcode非官方版本恶意代码污染事件

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具（IDE），是开发OS X 和 iOS 应用程序的最主流工具。2015年9月14日起，一例Xcode非官方版本恶意代码污染事件被披露，多数分析者将这一事件称为“XcodeGhost”。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost，它的初始传播途径主要是通过非官方下载的 Xcode 传播，通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时，编译出的App都将被注入病毒代码，从而产生众多携带病毒的APP。至少692种APP受污染，过亿用户受影响，受影响的包括了微信、滴滴、网易云音乐等著名应用。

远程终端管理工具Xshell后门事件

Xshell是NetSarang公司开发的安全终端模拟软件，2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。2017年8月7日，厂商NetSarang发布了一个更新通告，声称在卡巴斯基的配合下发现并解决了一个在7月18日的发布版本的安全问题，提醒用户升级软件。2017年8月14日，360威胁情报中心和国内其他安全厂商对Xshell Build 1322版本（此版本在国内被大量分发使用）分析发现并确认其中的nssock2.dll组件存在后门代码，恶意代码会收集主机信息往DGA的域名发送并存在其他更多的恶意功能代码。

事件可以比较明确地认为是基于源码层次的恶意代码植入。从后门代码的分析来看，黑客极有可能入侵了相关开发人员的电脑，在源码植入后门，导致官方版本也受到影响。并且由于dll文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。该后门代码可导致用户远程登录的信息泄露，针对开发、运维人员，估计十万级别用户受影响。

三、厂商预留后门

Arris为AT&T家庭用户定制版调制解调器内置后门事件

2017年8月，安全研究人员发现知名电信设备制造商Arris生产的调制解调器存在5个安全漏洞，其中有3个是硬编码后门账号漏洞。攻击者利用三个后门账号均可控制设备，提升至ROOT权限、安装新固件，乃至于架设僵尸网络等。有问题的调制解调器型号为Arris NVG589、Arris NVG599，主要在美国宽带运营商AT&T的网络里使用，但在Arris官网找不到信息（停产产品？）。Nomotion研究人员推测，它们可能是专为AT&T家庭用户定制的入网设备。研究人员认为易受漏洞攻击调制解调器至少有22万台。

惠普笔记本音频驱动内置键盘记录后门事件

2017年5月，来自瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入。研究人员指出，惠普的缺陷代码（CVE-2017-8360）不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。这个记录文件位于公用文件夹C:\Users\Public\MicTray.log中，包含很多敏感信息如用户登录数据和密码，其他用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。2015年，这个按键记录功能以新的诊断功能身份在惠普音频驱动版本1.0.0.46中推出，并自此有近30款惠普计算机都内置有这种功能。

家用路由器后门事件

各类家用路由器厂商在开发过程中忘记删除测试版本中的调试后门，也有部分厂商为了方便售后管理也会在路由器中预留各类超级后门，调试后门或者预留后门可被攻击者直接登录获得root权限，获得对路由器的控制权。由于这类安全事件频繁发生，故将其统一归为一类。

Juniper VPN后门事件

2015年12月15日著名网络设备厂商Juniper公司发出风险声明，其防火墙、VPN设备使用的操作系统具有重大安全风险，建议尽快升级相关版本。根据声明，设备的SSH登录系统在输入任意用户名的情况下，使用超级密码就可以最高权限登录系统，设备的VPN安全通道上传递的数据可以被攻击人解密、篡改和注入。全球上万NetScreen设备被攻击。

WormHole

2015年11月百度moplus SDK的一个被称为虫洞（Wormhole）的漏洞被漏洞报告平台wooyun.org所披露，研究人员发现Moplus SDK具有后门功能，但这不一定是由于漏洞或跟漏洞相关，之所以称之为漏洞是基于Moplus SDK的访问权限控制以及应该如何限制这种访问的角度。因此，它虽然具有漏洞相关的概念而实际上是一个后门程序，如推送钓鱼网页，插入任意联系人，发送伪造短信，上传本地文件到远程服务器，未经用户授权安装任意应用到Android设备。而执行这些行为唯一的要求是该设备首先需要连接互联网。由于Moplus SDK已经被集成到众多的Android应用程序中，这就意味着有上亿的Android用户受到了影响。研究结果还表明，已经有恶意软件在利用Moplus SDK的漏洞，它被植入到14000款app当中，这些app有接近4000个都是由百度出品的。经统计有2846个app包含后门库，苹果设备感染量未知。

棱镜计划

棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。其中以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”，协助美国政府对世界各国实施大规模信息监控，随时获取各国最新动态。思科公司多款主流路由器产品被曝出在VPN隧道通讯和加密模块存在预置式“后门”，即技术人员在源码编写过程中已经将“后门”放置在产品中，利用“后门”可以获取密钥等核心敏感数据，几乎涵盖所有接入互联网使用的人群。

四、捆绑下载

WireX Android Botnet 污染 Google Play 应用市场

2017年8月17日，名为WireX BotNet的僵尸网络通过伪装普通安卓应用的方式大量感染安卓设备并发动了较大规模的DDoS攻击，此举引起了部分CDN提供商的注意，此后来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru等组织联合对该事件进行分析，并于8月28日发布了该事件的安全报告。报告发现大约有300种不同的移动应用程序分散在Google Play商店中，WireX引发的DDoS事件源自至少7万个独立IP地址，8月17日攻击数据的分析显示，来自100多个国家的设备感染了WireX BotNet。

“隐魂”木马

2017年8月，360安全中心紧急预警了一款感染MBR（磁盘主引导记录）的“隐魂”木马，感染MBR（磁盘主引导记录）的“隐魂”木马捆绑在大量色情播放器的安装包中诱导下载安装，安装包安装后调用加载读取释放出来的JPG图片并解密图片后的shellcode代码并执行。“隐魂”木马入侵系统后劫持浏览器主页，并安插后门实现远程控制。短短两周内，“隐魂”木马的攻击量已达上百万次。

假冒“老毛桃”工具

2017年8月，360安全中心接到多起网友反馈，称电脑中所有浏览器的主页都被篡改，而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析，这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。下载该制作工具后，其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时，还会弹出“阻止安装”提示，诱导中招者停止安装。专家进一步分析后发现，该驱动还设置了不少保护措施逃避安全软件查杀，如禁止自身文件和注册表的浏览和读取等。

异鬼ⅡBootkit木马

2017年7月被曝光的异鬼ⅡBootkit木马通过高速下载器传播。隐藏在正规软件甜椒刷机中，带有官方数字签名，导致大量安全厂商直接放行。木马的VBR感染模块、恶意功能模块均由云端下发，作者可任意下发功能模块到受害者电脑执行任意恶意行为，下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。该木马通过国内几大知名下载站的高速下载器推广，影响百万台机器。

“灵隐”木马

2017年6月，360安全卫士曝光了“灵隐”木马，该木马主要针对游戏外挂使用者，通过打包修改各种外挂，捆绑木马程序，再通过网盘和各类游戏论坛传播。执行劫持浏览器、删除安全软件、进行软件推广功能。

五、物流链劫持

“方程式”组织硬盘固件程序攻击

卡巴斯基安全实验室在2015年2月16日起发布系列报告披露了一个网络攻击组织：“方程式”组织（Equation Group）。该组织拥有一套用于植入恶意代码的超级信息武器库（在卡巴的报告中披露了其中6个），其中包括两个可以对数十种常见品牌的硬盘固件重编程的恶意模块，这可能是该组织掌握的最具特色的攻击武器，同时也是首个已知的能够感染硬盘固件的恶意代码。而通过相关安全公司分析的结论可以看出，在此次硬盘固件程序攻击事件中可以做到如此有针对性（特定目标、行业），部分攻击方式极有可能属于物流链劫持，即在特定目标采购、返修主机或硬盘的过程中修改了硬盘固件。

恶性病毒“Kuzzle”

2017年8月，安全公司截获恶性病毒“Kuzzle”，该病毒感染电脑后会劫持浏览器首页牟利，同时接受病毒作者的远程指令进行其他破坏活动。“Kuzzle”采用多种手段躲避安全软件的查杀，甚至盗用知名安全厂商的产品数字签名，利用安全软件的“白名单”的信任机制来躲避查杀。更严重的是，用户即使重装系统也难以清除该病毒，使用户电脑长期处于被犯罪团伙的控制之下。“Kuzzle”通过下载站的高速下载器推广传播，下载器会默认下载携带病毒的“云记事本”程序。电脑感染病毒后，浏览器首页会被劫持，谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。

基于域名bjftzt.cdn.powercdn.com软件升级劫持攻击

360安全卫士在2017年7月5日披露，有多款软件用户密集反映360“误报了软件的升级程序”，但事实上，这些软件的升级程序已经被不法分子恶意替换。这次事件其实是基于域名bjftzt.cdn.powercdn.com的一组大规模软件升级劫持事件。用户尝试升级若干知名软件客户端时，运营商将HTTP请求重定向至恶意软件并执行。恶意软件会在表面上正常安装知名软件客户端的同时，另外在后台偷偷下载安装推广其他软件。山东、山西、福建、浙江等多省的软件升级劫持达到空前规模，360安全卫士对此类攻击的单日拦截量突破40万次。

NotPetya勒索病毒

2017年6月27日晚，据外媒消息，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇了Petya勒索病毒变种NotPetya的袭击。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序，使用户更新软件时感染病毒。政府、银行、电力系统、通讯系统等都不同程度地受到了影响。

Toxik病毒

2016年7月安全公司曝光一种病毒，长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件（游戏修改器、系统周边工具等）在下载站中进行传播，在用户运行后，该病毒会利用国内某知名互联网公司的软件升级程序（WPS升级程序）下载推广软件，甚至下载病毒驱动进行恶意推广。该病毒利用explorer.exe下载大量推广软件，安装到用户计算机获得利益，安全软件对该病毒检测名称为“TrojanDropper/Toxik.a!sys”和“Trojan/ Toxik.a”。

（资料来自360企业安全等单位相关报告）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。