计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》.pdfVIP

计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》--第1页

解读六种常见的软件供给链攻击类型

并非所有的软件供给链攻击都是一样的。以下是攻击者目前通过

第三方破坏合法软件的惯用方法。

软件供给链事件最近登上了新闻头条，引发了各界广泛关注。尽

管这些平安事件有着诸多相似之处，但事实上，并非所有的供给

链攻击都是相同的。

“供给链攻击〞这一总称涵盖了攻击者干扰或劫持软件制造过

程(软件开发生命周期)，从而对成品或效劳的诸多消费者造成不

利影响的任何情况。当软件构建中使用的代码库或单个组件受到

感染、软件更新二进制文件被木马化、代码签名证书被盗，甚至

托管软件即效劳(SaaS)的效劳器遭到破坏时，都可能会发生供给

链攻击。

对于任何软件供给链攻击，攻击者都会在上游或中游介入，将其

恶意活动及其后果向下游传播给众多用户。因此，与孤立的平安

漏洞相比，成功的供给链攻击往往规模更大，影响更深远。

下面为大家介绍现实世界中成功的软件供给链攻击活动惯用的

6种关键技术：

供给链攻击例如

1.上游效劳器妥协——Codecov攻击

对于大多数软件供给链攻击，攻击者会破坏上游效劳器或代码存

储库并注入恶意负载(例如，恶意代码行或木马更新)。然后将该

计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》--第1页

计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》--第2页

有效载荷向下游分发给众多用户。然而，从技术角度来看，情况

并非总是如此。

Codecov供给链攻击就是这样一个例子。尽管该事件与

SolarWinds攻击存在相似之处，但两次攻击之间却存在明显差

异。SolarWinds供给链漏洞是技能卓越的威胁行为者的“杰

作〞，他们更改了合法的更新二进制文件

SolarWinds.Orion.Core.BusinessLayer.dll，其是SolarWinds

IT性能监控产品Orion的一局部。

FireEye之前分析过，假冒DLL的RefreshInternal()方法中包含

的恶意代码如下所示。当Orion加载库存管理器插件时，此方

法会调用基于HTTP的后门：

带有恶意RefreshInternal方法的后门DLL版本

2021.4.520219083

然而，只有当修改后的二进制文件向下游传播至包括美国政府机

构在内的18,000多个SolarWindsOrion客户时，

SolarWinds上游攻击才算发挥了全部作用。

而在Codecov攻击案例中，没有恶意代码分发到下游，但却切

切实实地产生了攻击后果。根据官方平安公告指出，黑客利用

Codecov的Docker映像创立过程中出现的错误，非法获得了

其BashUploader脚本的访问权限并且进行了修改，以收集从

客户的持续集成/持续交付(CI/CD)环境上传的环境变量：

计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》--第2页

计算机网络技术专业1《解读六种常见的软件供应链攻击类型6》--第3页

尽管CodecovBashUploader脚本在Codecov[.]io/bash的