供应链安全之：供应链劫持的安全防护与处置

一、基本信息  

供应链劫持是普遍存在的一种供应链污染，涉及捆绑恶意代码、下载劫持、网络劫持、物流链劫持、升级劫持等。近期发生的“黎巴嫩通信设备爆炸事件”就是典型的供应链劫持攻击。

供应链劫持利用供应商与用户之间的信任关系，攻击难度低并具备高度的隐蔽性，影响范围广泛，对用户构成的安全威胁持续上升。软件供应链劫持是最常见的一种攻击方式，攻击者在软件的开发、分发和更新过程中进行干预或篡改，以实现攻击目的。由于许多开源软件库在构建时过于注重便捷性，而忽略了恶意代码的筛查，这使得供应链劫持事件愈发频发。

攻击者通常选择的投毒点包括企业的代码库、GitHub开源平台、PyPI和npm等第三方包管理库。常见步骤如下所述：
（1）编制恶意文件。攻击者会将含有攻击意图的恶意软件包装成看似正常的文件。
（2）投递恶意文件。攻击者通常会将这些文件上传至GitHub或第三方包管理库，企图通过开发人员的疏忽来安装相关包，进而获得企业的访问权限。若攻击者已侵入内网并取得企业代码库的权限，他们会上传恶意文件至代码库，通过开发人员的失误安装恶意包，扩大影响范围，获取更多主机的控制权。
（3）获取主机权限。一旦企业开发人员安装了恶意包，攻击者便会在系统中植入后门程序，该程序能够执行多种操作，如维持持久访问、执行命令、搜集信息。
（4）数据窃取。在收集目标主机信息后，攻击者会将企业的敏感数据传出，涉及用户文档、代码等数据。

二、安全能力构建

（1） 技术能力构建

（1）边界安全防护。当遇到供应链投毒的场景，直接在出口禁止对IOC的双向访问。
（2）日志分析能力。在遇到针对开源组件库或企业内部代码平台进行供应链投毒攻击时，重点考虑研发团队终端访问IOC情况。排查时应注意时间范围，尤其是在供应链投毒攻击之前的访问。
（3）软件成分分析、检测能力。通过SCA工具对软件依赖包、程序执行拉取的组件库等进行深度能力检测，防止出现研发人员因拼写错误或拉取版本错误等使遭受投毒攻击；需要确保SCA工具覆盖度，保障研发人员对不同开发语言使用的兼容。
（2）知识库建设
（1）软件、组件资产库。
资产库是对软件、组件成分分析的工程化能力体现，可以通过源代码扫描和二进制文件扫描两种方式进行互补。实现“组件+版本”到产品+版本”快速关联，实现快速检索排查软件或组件的恶意行为。
（2）供应链安全情报库
以行业划分，建立企业所属行业的供应链安全情报库，及时获取行业供应链情报更新，形成行业供应链大数据分析基础。在此基础上不断完善企业的安全预警体系，开展常态化风险评估，识别并弥补企业安全薄弱环节，提高抗供应链攻击能力。

三、供应链劫持事件处置流程

（1）情报收集（IOC监控）：
监测到开源软件包存在后门的情报时，一般也会提供IOC地址。若没有则继续加强关注相关情报源，或下载相关软件包进行分析自行提取。
（2）情报研判（IOC拉黑）：
在互联网边界先通过防火墙等安全设备将IOC禁用，禁止进出向的访问权限，及时阻断恶意外联。
（3）影响范围排查：
通过EDR、NTA等安全设备查询IOC的访问情况，将有访问记录的主机或PC纳入受攻击范围；通过SCA产品或组件库，根据软件及版本信息查询受影响的仓库或项目。
（4）攻击缓解：
本环节最重要的工作内容就是攻击入口的封堵、攻击传播链的阻断以及恶意IOC的封禁。通过告警日志排查、样本上机取证等手段，分析出恶意软件下载地址、被远控机器回连C2地址以及恶意程序横向传播手段，完成以下抑制操作：物理或逻辑隔离被控主机、封锁或重置被攻击的登录账号、在DNS服务上将恶意域名指向黑洞解析、在出口应用防火墙做C2封禁等。
（5）应急响应：
对排查出的受影响服务器或终端PC开展应急响应，通过查询日志、流量分析攻击链路、后门检查与清除等。
（6）推动整改及验证：
对受影响的仓库或项目，通知其所有者进行整改并跟进修复后的验证。

【End】

watcherlab

做数字经济时代的安全守望者

长按扫码可关注

原文始发于微信公众号（锦岳智慧）：供应链安全之：供应链劫持的安全防护与处置