从solar winds黑客入侵事件中看供应链安全

于 2021-04-25 10:54:25 发布
阅读量354 收藏
点赞数
分类专栏: 供应链安全 零信任 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeeseen123/article/details/116119253
版权

最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手。为此,美国财政部已对俄罗斯实施全面制裁,包括制裁了六家俄方企业,并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。

近年来,软件供应链攻击安全问题频频发生。调查显示,这些攻击造成的企业损失平均超过100万美元,因此,防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。

什么是软供应链攻击?

想知道供应链攻击,就得先了解下什么是供应链。
供应链是指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构。整个过程涉及原料供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户。
供应链结构基本呈“线性”模式,所以当供应链上游出现干扰时,必将影响下游。也就是说,当恶意攻击者在受信任的第三方合作伙伴或提供商的软件上安装恶意软件,就有可能依赖供应链上的信任关系逃避传统安全产品的检查,潜入目标网络,实施非法攻击。这类型的攻击就是供应链攻击。
在这里插入图片描述
SolarWinds 黑客入侵事件就属于典型的供应链攻击。
SolarWinds是美国知名的基础网络管理软件供应商,全球大概有33,000名客户使用其旗下的Orion网络监控软件。恶意攻击者将恶意代码隐藏在Orien软件更新包中,通过受信任的供应链自动分发给下游的33,000名客户。一旦用户更新该软件,恶意代码就会以与应用相同的信任和权限运行,攻击者进而获得用户系统的访问权
通过这种方式,黑客“隔山打牛”完成了对Orion客户——美国五角大楼和国土安全部、能源部、财政部、微软、Fireeye和其他组织的攻击。
在这里插入图片描述

愈演愈烈的软供应链攻击

目前,供应链攻击的频率和成熟度在不断提高。根据行业估计,供应链攻击现在占所有网络攻击的50%,去年同比激增了 78%。多达三分之二的公司经历了至少一次供应链攻击事件。同时,80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一

以下是供应链攻击的常用攻击方式:

  • **损害软件更新服务器。**黑客通过入侵公司用来分发软件更新的服务器,窃取或伪造证书签名的软件更新,将恶意软件带进攻击目标。一旦应用程序自动更新,就会迅速感染大量系统。

    **获得对软件基础结构的访问权限。**黑客使用社会工程学技术渗透到开发基础架构中,破坏构建环境和服务器,从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名,就很难检测出恶意代码。

    **攻击第三方代码库。**恶意软件还通过第三方代码(例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架)传递。如果网络罪犯访问该存储库,则他们可以像授权开发人员一样更改代码,这提供了将恶意代码添加到产品核心的机会。

其中,源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链报告》中指出,当前超过90%的现代应用融入了开源组件,其中11%OSS组件中存在已知漏洞。而同时,针对开源项目的网络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。
在这里插入图片描述

企业该如何应对供应链攻击

供应链攻击,已经成为APT攻击中的常用攻击手段,该攻击方法存在以下特点:
1、攻击面广,危害极大。由于软件供应链是一个完整的流动过程,因此在软件供应链上发生的攻击具有扩散性。一旦突破供应链的上游一环,便会“伤及一片”,对大量的软件供应商和最终用户造成影响。
2、潜伏周期长,检测困难。因为恶意代码是跟随”可信任”的软件更新进入到内网环境中,所以具有高度隐藏性。它可以欺骗并绕过外部防护,然后在目标网络环境中建立高权限账户,不断地访问并攻击新的目标。而且,不少软件供应链攻击者不直接攻击供应商,而是利用供应商来规避公司的网络安全机制检测风险。因此,想要从根源上就检测出攻击行为十分困难。
在这里插入图片描述
面对越来愈频繁的供应链攻击,需要上下游企业的共同努力,通过共同建立联防联控体系,提升遭受供应链攻击时的响应处置和恢复能力

对于上游的软件供应商和开发人员
我们建议:
1、构建安全的软件更新程序,强化软件开发生命周期管理。
2、制定针对供应链攻击的事件响应流程,及时准确地通知客户。
3、加强员工安全意识培训,避免被攻击者钓鱼攻击。
4、建立“快速升级态势”,快速响应新的零日漏洞。

对于下游的厂商
我们建议:
1、应用零信任原则强化内部环境,包括加强账号验证、令牌验证、访问源校验等,持续性验证访问用户身份,收敛攻击暴露面,降低攻击成功概率。这样,即使恶意代码进入了内部环境,也无法越权访问。
2、采取部署蜜罐等基于行为的攻击检测解决方案,抵御复杂的供应链攻击,提高防御速度。一旦攻击者进行横向渗透,遍布全网的蜜罐就能快速感知。同时,蜜罐会将数据集中到本地威胁情报上,利用大数据分析和机器学习技术,生成完整的攻击者“画像”,从而主动防御新的攻击。这样,即使供应链攻击者更新源代码,也能快速发现。
3、建立纵深防御体系,联动威胁情报产品,快速拦截攻击,全局视角提升对威胁的发现识别、理解分析、响应处置。

Jeeseen123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Java代审:Maven基础知识
12-23 268
前言Maven 是一个项目构建和管理工具,利用它可以对 JAVA 项目进行构建和依赖管理。Maven 采用项目对象模型 POM(Project Object Model)来管理项目。Maven 的主要工作就是用来解析一些 XML 文档、管理生命周期与插件。Maven 被设计成将主要的职责委派给一组 Maven 插件,这些插件可以影响 Maven 生命周期,提供对目标的访问。0x01 Maven环境配置JDK安装以及系统要求Maven 是一个基于 Java 的工具,所以要做的第一件事情就是安装
博客
技术分享 | DLL注入之远线程注入
10-13 340
0x00 远线程注入远线程注入是指一个进程在另一个进程中创建线程的技术。0x01 函数介绍OpenProcess作用: 打开现有的本地进程对象。函数声明:HANDLE WINAPI OpenProcess( _In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId)参数:dwDesiredAccess:想拥有该进程的访问权限,若进程启动了SeDebugPrivile
博客
DLL注入之全局钩子注入
09-08 481
DLL注入之全局钩子注入0x00 HOOK概述Hook也就是钩子,在Windows中大部分的应用程序都是基于消息机制,会根据不同的消息使用消息过程函数完成不同的功能。而钩子是一种消息处理机制,它可以比你的应用程序先获得消息,可以用来截获、监视系统的消息,改变执行流程实现特定的功能。对于全局钩子来说,它会影响所有应用程序,所以钩子函数必须在DLL中实现。0x01 函数介绍SetWindowsHookEx作用:将程序定义的钩子函数安装到挂钩链中,安装钩子的程序可以监视系统是否存在某些类型的时间,这些
博客
SSH软链接后门利用和原理
08-23 1280
SSH软链接后门利用和原理本文由锦行科技的安全研究团队提供,主要介绍SSH软连接后门的利用和相关原理。00 利用前提ssh配置中开启了PAM进行身份验证查看是否使用PAM进行身份验证:cat/etc/ssh/sshd_config|grep UsePAM01 建立后门建立软连接后门:ln-sf/usr/sbin/sshd/tmp/su;/tmp/su-oPort=1234注意:软链接的路径不是绝对的,但名字不是随便命名的,使用命令find/etc/pam.d|xargs grep "pam_r
博客
利用PHAR协议进行PHP反序列化攻击
06-28 391
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0当通过phar://协议对phar文件进行文件操作时,将会对phar文件中的Meta-data进行反序列化操作,可能造成一些反序列化漏洞。本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR反序列化攻击的原理和
博客
安全技术|DNSLOG平台搭建从0到1
06-24 1575
安全技术|DNSLOG平台搭建从0到1DNSLOG是一种回显机制,常用于在某些漏洞无法回显但可以发起DNS请求的情况下,利用此方式外带数据,以解决某些漏洞由于无回显而难以利用的问题。主要利用场景有SQL盲注、无回显的命令执行、无回显的SSRF。本文介绍一种搭建DNSLOG平台的方法,旨在为渗透测试提供一些帮助。前期准备一个域名,一台vps本文使用的是:阿里云购买的域名和云服务器ECS域名:example.icuvps ip:100.100.100.100实验过程1.添加DNS解析在云解析D
博客
技术分享 | 基于windows操作系统的锦行蜜罐新节点技术
05-31 337
摘要基于诱捕节点,蜜罐可以实现攻击欺骗转移和资产隔离防护。但是现有诱捕节点的实现技术存在IP地址资源的分配和冲突的风险,日常维护要求高,需要配备专业的网管人员,增加人力成本。本文锦行科技提出了一种新的基于windows操作系统的诱捕节点实现技术,利用Libuv库以及采用多进程服务架构技术,在诱捕节点模拟主机网络服务,并通过采用linux虚拟网卡技术的中间层服务实时转发到蜜罐主机中,实现整个攻击者攻击行为的监控及告警功能,解决了现有技术中存在IP地址资源的分配和冲突的风险,增加诱捕节点密度,同时降低了部署
博客
技术分享 | Fastjson-RCE漏洞复现
05-26 467
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。影响版本Fastjson1.2.47以及之前的版本复现1.1 环境准备攻击机1用于接受反弹shell系统:Win10 x64安装nc,burpsuit
博客
勒索攻击成美国梦魇?这份防范指南请收好
05-12 295
5月9日,美国交通部发布一份“区域紧急状态声明”,美国最大燃油管道运营商Colonial Pipeline因受勒索软件攻击,被迫临时关闭其美国东部沿海各州供油的关键燃油网络。此次勒索攻击使美国三个区域受到了断油的影响,共涉及17个州。这是美国首次因网络攻击事件而进入国家紧急状态,这次事件也敲响了关键基础设施网络安全的警钟。
博客
技术分享 | Git-RCE:CVE-2021-21300
04-04 1646
git多个版本中,对符号链接处理不严格。在大小写敏感(例如Linux)的文件系统上传文件到git后,使用大小写不敏感文件系统(例如Windows)的主机克隆恶意仓库时可能导致远程命令执行。本文由锦行科技的安全研究团队提供,从攻击者的角度还原了Git-RCE的渗透过程。触发条件:仓库中存在同名的链接符号和目录符号链接指向特殊目录(目前看来是.git/hooks)受害机需要有足够权限执行恶意命令01 复现01 环境准备①仓库准备:系统:ubuntux64需安装 git、git-lfs
博客
干货 | linux系统行为新型实时监控技术
03-30 311
万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O流量等信息,为服务器系统的运维和安全保障工作提供可靠的数据支撑。这里我们主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网络连接、网络I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等系统相关
博客
浅析HTTP走私攻击
03-24 492
如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用的一种攻击手法“HTTP请求走私”,它可以使攻击者能够绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。本文由锦行科技的安全研究团队提供,旨在通过剖析“HTTP请求走私”的攻击过程,帮助企业进一步了解攻击者的攻击思路,做好应对策略。什么是HTTP请求走私?在复杂的网络环境下,不同的服务器以不同的方式实现RFC标准,利用前后端服务器对数
博客
技术分享 | 域渗透AdminSDHolder
03-11 270
AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。本文由锦行科技的安全研究团队提供,旨在从攻击者的视角还原AdminSDHolder的渗透过程。配置1、添加:在域控上操作AdminSDHolder对象的ACL添加用户test对AdminSDHolder的完全访问权限powerview:
博客
技术分享 | “锦行杯“比赛 Writeup
02-02 564
本期我们邀请了近期在锦行杯比赛(华农场)获得一等奖的参赛队伍XCAU战队 (不想和队友一队 战队)与我们分享了他在锦行杯比赛中的攻击思路。
博客
安全技术 | 一次众测实战sql注入绕过
12-22 1765
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。本文由锦行科技的安全研究团队提供,旨在帮助客户理解sql注入绕过的问题。测试背景在一次测试过程中,发现登陆框的用户名处存在延时注入。开启bp抓包,随便输入用户名和密码,点击登陆,抓到以下数据包经测试,Uname参数存在sql延时注入在后
博客
技术文章 | windows横向渗透中的令牌完整性限制
11-09 300
本文由锦行科技的安全研究团队提供,站在攻击者的视角分析windows内的横向移动,帮助大家深入了解横向移动的全过程以应对该种攻击。
博客
一个实验了解多层内网渗透
11-03 1590
原创:锦行安全平台部zy近年来,攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜,攻击者在经常会企业的内网进行横向渗透,令防守方防不胜防。因此,我们应该严格控制好网络区域之间的访问规则,加大攻击横向渗透的阻力。本文由锦行科技的安全研究团队提供,旨在通过实验演示进一步了解攻击者是如何在多层内网进行的渗透。一、实验简介网络拓扑图渗透机:win10+kali第一层靶机 (外网web服务器): Linux第二场靶机 (内网web服务器): Linux第三层靶机 (内网办公机) : win7用三层
博客
安全技术 | 域渗透之SPN
10-19 1435
Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。在内网中,SPN扫描通过查询向域控服务器执行服务发现,可以识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是Kerberoasting攻击的第一步。本文由锦行科技的安全研究团队提供,旨在通过对SPN进行介绍,帮助大家深入了解Kerberoasting攻击过程以应对该种攻击。SPNSPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。Kerbe

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值