写这篇的文章的原因如下:
1、 去年有及时关注到这起供应链攻击事件,但由于不熟悉区块链安全以及对关键代码的解密困难未能深入分析,就先收藏留存;
2、 对区块链安全的兴趣日益加深,以及职业发展需求驱动下开始尝试学习储备相关知识技能;
3、 最近突然对关键代码的解密有所突破,并借助AI工具加速分析和理解;
4、 未在互联网上找到与此相关的技术细节方面(可能是个人关注的角度)的分析,希望能分享一些学习过程中的新发现,为安全社区贡献一点绵薄之力;
5、 软件供应链攻击的分析专题补充一类涉及NPM投毒、区块链相关的经典案例。
2023年12月份在推特上关注到慢雾科技的余弦大大在播报这个软件供应链攻击事件,大致了解到知名的硬件钱包厂商Ledger维护的一个JS库被篡改,影响了很多dApps(去中心化)应用,更传奇的是听说黑客转走了很多用户的加密货币。
https://twitter.com/evilcos/status/1735285800101884272
前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。
之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。
2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。
2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。
本次事件的重要时间节点如下所示。
这里分享一篇关于在线安全和数据隐私的文章《Data Breach and Leak Glossary: Every Technical Term Explained》,感谢@Louis Martin的真诚推荐!
如果说,作为“软件供应链攻击”的典型案例,XCodeGhost事件虽然影响面较大,但其本质上毕竟只是作为软件推广的小后门而存在,攻击性并不显著。本文将分析的XShellGhost后门案例则是继XCodeGhost之后下一个 “供应链安全”的经典案例,并且相较之下其攻击特征尤其突出,技术水准也直线上升,是真正令人细思极恐的高级幽灵。
2017年7月,著名安全公司卡巴斯基通过在合作伙伴的网络环境中分析可疑的DNS请求发现了NetSarang(XShell所属公司)生产和分发的软件最新版本已被秘密修改,用于包含可以让攻击者远程激活的加密载荷。之后卡巴斯基通知厂商与其发布了联合安全声明,并以“Shadowpad”来命名此类软件后门(国内安全厂商则习惯将其命名XShellGhost)。