剖析供应链攻击的防范

摘要：近来供应链攻击频发，供应链攻击和勒索软件攻击正成为黑客谋利的重要手段，造成的社会危害巨大。如何才能有效的防范供应链攻击，正成为软件供应商需要思考的问题，Google 的 SLSA 供应链完整性框架，给了我们很多有益的参考。

本文分享自华为云社区《供应链攻击的防范》，原文作者：Uncle_Tom 。

1. 历史上最大的勒索软件攻击

7 月 2 日勒索组织 REvil，攻击了一家来自瑞典的 IT 管理服务提供商(managed service providers(MSP)) – Kaseya。

Kaseya 的 VSA(虚拟系统管理)是一个基于云的管理服务提供商(MSP)平台，该平台为客户提供了一套基于 Web 的新一代自动化 IT 系统管理解决方案。MSP 通过建立自己的网络运作中心(Network Operating Center(NOC))来为企业提供 24×7×365 的系统管理服务的业务。MSP 可以实现对客户的 IT 系统的进行远程的管理、实时的监控、对企业系统运作情况进行统计，以及执行补丁管理等。

Kaseya 在全球已经拥有了超过 10000 家客户，其中包括 50%以上的全球 100 强 IT 管理服务提供商及各大龙头企业，分别来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等领域。全球有超过 1300 万台以上的终端和设备通过 Kaseya 的软件进行管理。

REvil 利用零日漏洞(CVE-2021-30116)攻陷 MSP 平台之后，向 VSA 内部推送了恶意更新，在企业网上部署了勒索软件，导致 Kaseya 遭受工具链攻击。REvil 宣称锁定了超过一百万个系统，并愿意就通用解密器进行谈判，起价为 7000 万美元，这是迄今为止开价最高的赎金。

REvil 频繁作案：

2020 年 5 月，REvil 声称破译了唐纳德·特朗普公司用于保护其数据的椭圆曲线密码术，并为他们盗窃的数据索要 4200 万美元的赎金。
2021 年 3 月 18 日，REvil 附属公司在网络上声称，他们已从跨国硬件和电子公司宏碁安装勒索软件并盗取大量数据，并为此索取 5000 万美元的赎金。
2021 年 3 月 27 日，REvil 攻击哈里斯联盟，并在其博客上发布了联盟的多份财务文件。
2021 年 4 月，REvil 窃取了广达电脑即将推出的苹果产品的计划，并威胁要公开发布这些计划，除非他们收到 5000 万美元作为赎金。
2021 年 5 月 30 日，全球最大肉类供应商 JBS 受到 REvil 勒索软件的攻击，该公司不得不将所有美国牛肉工厂暂时关闭，并中断了家禽和猪肉工厂的运营。最终，JBS 还是向 REvil 支付了 1100 万美元的比特币赎金。
2021 年 6 月 11 日，全球再生能源巨擘 Invenergy 证实其作业系统遭到了勒索软件的攻击，REvil 声称对此事负责。

2. 近来供应链攻击频繁

2020/12，SolarWinds 旗下软件被用于供应链攻击

SolarWinds 公司创办于 1999 年，总部位于美国德克萨斯州奥斯汀，在多个国家设有销售和产品开发办事处，主要生产销售网络和系统监测管理类的软件产品，为全球 30 万家客户服务，覆盖了政府、军事、教育等大量重要机构和超过 9 成的世界 500 强企业，知名客户清单包括：《美国财富》500 强企业中的 425 家；美国十大电信公司；美军所有五个分支；五角大楼，美国国务院，NASA，NSA，美国邮政局，NOAA，美国司法部和总统办公室；美国前五名会计师事务；全球数百所大学等。

据析大约有超过 250 家美国联邦机构和企业受到影响，其中包括美国财政部、美国 NTIA，美国安全公司 FireEye 等，可以算得上是 2020 年最具影响力的供应链攻击事件了。

2020/12,黑客组织 FIN11 利用 AccellionFTA 服务器的多个 0day 漏洞攻击全球上百家企业

黑客利用 4 个安全缺陷攻击 AccellionFTA 服务器（FTA 服务器是一款在 2000 年时代开发的文件共享工具，可使企业以简单的方式和员工以及客户共享文件），安装了一个名为“DEWMODE”的 webshell，之后用于下载存储在受害者 FTA 设备上的文件。Accellion 公司在新闻稿中指出，”在约 300 个 FTA 客户端中，受害者不到 100 人，而其中不到 25 个人遭受严重的数据盗取事件。在这 25 个客户中，某些客户的 FTA 文件分享服务器遭攻击后收到了勒索留言。攻击者发送邮件要求支付比特币，或者在由 Clop 勒索团伙运营的网站上公开受害者数据。

2021/03,国际航空电信公司(SITA)受到供应链攻击

国际航空电信公司（SITA）占据全球 90%航空份额的通信和 IT 厂商，存储在该公司位于美国服务器中的乘客信息遭“高度复杂的攻击”。受攻击的服务器位于亚特拉大，属于 SITA 乘客服务系统(SITAPSS)。SITAPSS 运营该系统是为了处理航空乘客信息，为 SITA 多家总部位于欧盟的企业所有。星空联盟（国际航空公司联盟）的航空公司成员包括汉莎航空、新西兰航空和新加坡航空以及 OneWorld 成员国泰航空、芬兰航空、日本航空和马来西亚航空公司已经开始和受影响用户通信，并表示，韩国航空公司济州航空的乘客数据也遭攻陷。

3. 供应链攻击

供应链攻击是一种以软件开发人员和供应商为目标的一种威胁, 攻击者通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制从而达到对开发人员和供应商进行攻击的目的。

软件供应链可划分为开发、交付、运行三个大的环节，每个环节都可能会引入供应链安全风险从而遭受攻击，上游环节的安全问题会传递到下游环节并被放大。

黑客往往通过攻陷某知名官网的服务器，篡改其服务器上所提供的软件源代码，使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道，携带着相应的供应商数字签名，使得恶意程序的隐蔽性大大增强，安全检测难度加大。

当攻击者通过供应链攻击散播的恶意软件是以加密技术锁住系统资料，并藉此勒索企业，就构成了勒索软件攻击。通常当供应链攻击和勒索软件攻击被一起使用时，会造成更大的危害。

例如，对于 Kaseya 的攻击，安全公司 Huntress Labs 在 Reddit 上发布了一篇帖子，详细介绍 Kaseya VSA 入侵的工作原理，该木马软件以 Kaseya VSA Agent Hot-fix 的形式发布，通过 Kaseya 的 MSP 管理平台，将补丁分发到 Kaseya 用于客户管理的虚拟机 VSA 上，从而完成恶意软件对客户关键信息的加密和勒索。

供应链攻击的典型攻击方法

《2020 年中国网络安全报告》称供应链攻击已成为 2020 年最具影响力的高级威胁之一。

4. 供应链攻击的防范

4.1. Google 的 SLSA 供应链完整性框架

6 月 16 日，Google 在安全博客上发表了一篇《Introducing SLSA, an End-to-End Framework for Supply Chain Integrity》博客，介绍了一个叫 SLSA(莎莎(读音 salsa))的用来检测端到端供应链完整性的框架。

SLSA 解决的问题：

软件生产商想要保护他们的供应链，但不知道具体如何；
软件消费者希望了解并限制他们遭受供应链攻击的风险，但没有办法这样做；
单独的工件签名只能防止我们关心的攻击的一个子集
SLSA 制定的标准是软件生产者和消费者的指导原则：
软件生产者可以遵循这些准则来使他们的软件更加安全；
软件消费者可以根据软件包的安全状况做出决定。

SLSA 是一套可逐步采用的安全指南，由行业共识建立。SLSA 是用来防止普通供应链攻击，明确列举了开发过程中各个环节可能受到的攻击，并将这些攻击点标注为 A 到 H 共 8 个攻击点；同时对开发过程中的三个输出中间件：原码（source）、依赖（dependency）和包（package）通过安全等级的划分来体现供应链的完整性强度。SLSA 的四个级别旨在增量和可操作，并防止特定的完整性攻击。SLSA 4 代表理想的最终状态，较低的级别代表具有相应完整性保证的里程碑。