前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。
之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。
2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。
2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。
本次事件的重要时间节点如下所示。
如果说,作为“软件供应链攻击”的典型案例,XCodeGhost事件虽然影响面较大,但其本质上毕竟只是作为软件推广的小后门而存在,攻击性并不显著。本文将分析的XShellGhost后门案例则是继XCodeGhost之后下一个 “供应链安全”的经典案例,并且相较之下其攻击特征尤其突出,技术水准也直线上升,是真正令人细思极恐的高级幽灵。
2017年7月,著名安全公司卡巴斯基通过在合作伙伴的网络环境中分析可疑的DNS请求发现了NetSarang(XShell所属公司)生产和分发的软件最新版本已被秘密修改,用于包含可以让攻击者远程激活的加密载荷。之后卡巴斯基通知厂商与其发布了联合安全声明,并以“Shadowpad”来命名此类软件后门(国内安全厂商则习惯将其命名XShellGhost)。
“软件供应链安全”是近些年安全圈里一个较火的专业名词,伴随着越来越多的“软件供应链攻击”事件被披露,这个概念不断地被各大安全公司提及和宣传。
个人认为XCodeGhost事件是“软件供应链安全”开始被关注和重视的一大标志性事件,现在很多关于这个话题的举例都会包含该事件。并且,这个案例也是罕见的针对移动IOS系统应用的大规模后门案例。