写这篇的文章的原因如下:
1、 去年有及时关注到这起供应链攻击事件,但由于不熟悉区块链安全以及对关键代码的解密困难未能深入分析,就先收藏留存;
2、 对区块链安全的兴趣日益加深,以及职业发展需求驱动下开始尝试学习储备相关知识技能;
3、 最近突然对关键代码的解密有所突破,并借助AI工具加速分析和理解;
4、 未在互联网上找到与此相关的技术细节方面(可能是个人关注的角度)的分析,希望能分享一些学习过程中的新发现,为安全社区贡献一点绵薄之力;
5、 软件供应链攻击的分析专题补充一类涉及NPM投毒、区块链相关的经典案例。
2023年12月份在推特上关注到慢雾科技的余弦大大在播报这个软件供应链攻击事件,大致了解到知名的硬件钱包厂商Ledger维护的一个JS库被篡改,影响了很多dApps(去中心化)应用,更传奇的是听说黑客转走了很多用户的加密货币。
https://twitter.com/evilcos/status/1735285800101884272
在渲染进程通过一个JS脚本利用XSL对象解析的UAF漏洞执行远程ShellCode。
利用程序首先定义一些XML,内部包含多个XSL对象。
随后调用transformToDocument方法导致Convert函数被调用。
前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。
之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。
2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。
