别让驱动人生撬开你的安全防线

12月14日下午，360互联网安全中心监测到“驱动人生”系列软件“人生日历”等升级程序分发恶意代码的活动，其中包括信息收集及挖矿木马，甚至还下发了利用永恒之蓝漏洞进行内网传播的程序。攻击得手后恶意代码被下载的高峰期出现在14日18:00左右，最高峰时感染量在10万级别。

图 驱动人生旗下多款应用的升级模块均被污染

图 恶意代码的分发过程

事后，深圳市驱动人生科技股份有限公司发表的官方说明称：“初步定位此次事件的原因是驱动人生早期版本更新服务器(IP: 103.56.xx.xx)被不法分子非法侵入，篡改了升级域名，使早期版本用户下载安装了不法分子的含有木马更新文件。”

综上，“驱动人生”事件是一起典型的通过控制应用相关的升级服务器执行的软件供应链攻击案例。

“软件供应链攻击”是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。

图 软件供应链攻击特点

软件供应链攻击之所以能够成功，在于它们披上了“合法软件”的外衣，软件供应链本身是个信任链条，每一环都是基于信任关系和信任机制的，因此一旦被黑客利用，供应链将成为攻击最好的掩护，变成非法攻击绕开现有安全手段的得力帮凶，很难被发现和清除。

软件供应链攻击并不是一种新的攻击形式，在“驱动人生”事件之前早已有之前就已经频繁发生：

Petya，混入升级通道的勒索病毒，借助乌克兰流行会计软件（M.E.Doc）更新程序，短时间内袭击了乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多个国家；

异鬼II，藏在刷机软件中的流氓软件，借助甜椒刷机等多款正规刷机软件，使得上百万台用户机器受到感染；

Kuzzle，假冒安全软件的病毒，借助下载站高速下载器，轻而易举的造成谷歌、火狐等多款主流浏览器首页被劫持；

XshellGhost，嵌入正规软件的后门，借助流行远程终端Xshell，迅速影响十万开发运维人员；

CCleaner后门，泄露信息的隐私保护工具，借助系统优化和隐私保护工具CCleaner，不到一个月内就被272万用户下载……

所以，不管您是否已经遭遇过软件供应链攻击事件，都不应该对此视而不见！

目前，很多企业用户都已经建立了较为完整的终端安全防护和管理体系，但却缺少良好的终端软件运维机制：部分企业允许员工从互联网自行下载各类软件，虽然很多下载器绑定了大量的来路不明广告程序；另一些企业虽然建立了自己的企业内部软件下载平台，但是对导入软件缺乏有效的安全检测机制，无法保障软件的安全性……这都为软件供应链攻击的落地提供了便利的条件。

要想有效规避软件供应链攻击风险，建议政企机构如下五个方面：

1、掌控全网终端的软件分布情况

精准、实时、全面的掌控公司、单位的软件资产信息，这样安全策略、安全基线才能有的放矢。

2、选择安全软件下载渠道

为员工构建安全可靠的软件下载平台。

所谓术业有专攻，企业IT管理者更多的关注点在于业务安全，对于软件基础设施安全，可以交给更为专业的安全厂商，由安全厂商对应用、工具类软件进行安全把关，建立一个软件足够丰富的PC软件生态圈和下载平台，可以覆盖大多数企事业用户的个性化要求。

3、把控软件升级通道

并不是所有软件提供商对更新设施的防护措施都足够到位，这就要求企业IT管理人员封堵软件更新的网络通道，并部署安全设备对软件升级通道进行有力的管控。

4、分析和感知互联网软件的网络通信行为

软件供应商的更新渠道不一定是安全的，有可能造成企业重要信息的外泄或者引入恶意插件、广告构成二次威胁入侵。所以，有必要对互联网软件的网络通信行为进行分析和感知，并具备进一步管控的能力。

5、具备安全应急响应能力

在软件供应链攻击事件发生时，可以第一时间封死网络通信链路，避免进一步损失。

360软件供应链攻击解决方案是360企业安全集团为了帮助政企机构免受软件供应链攻击而专门推出的解决方案，能够帮助客户精准掌控各类软件在内网中的使用情况，并通过安全渠道下载、把控升级通道等方式阻断软件供应链攻击的进入通道，通过终端边界协同防御防止攻击在软件使用过程中作恶。

图 360软件供应链攻击解决方案

1、看得见——知己知彼

知己：精准掌握内网软件资产信息，让安全策略、安全基线有的放矢。

知彼：依托强大的安全分析师团队、深厚的安全大数据及先进的可视化分析技术，360具备业界最强的威胁情报能力，能够及时感知各种安全风险。

2、防得住——严控通道

下载安全软件：构建企业软件下载平台，降低员工从第三方平台或者论坛下载各种工具的风险，既能确保应用的丰富性，又能保障软件安全性。从根源上提升软件供应链的安全水平。目前，360已经积累了数万款安全的软件，覆盖PC端软件使用的普遍需求。

严控升级通道：可以有效扼住软件自有更新途径，限定软件只能从安全的渠道进行更新，并由管理员有计划的统一进行更新升级。

非黑即白强制管控（可选）：对于内网业务较固定的客户，可以尝试制定内网软件运行白名单，强制内网可运行的软件及相关进程（通过文件、文件名、数字签名、MD5等维度识别），更严格的规范内网软件的使用。

3、查得清——准确定位

当出现新型软件供应链攻击事件时，能够根据问题软件的问题版本，第一时间找出高危终端，并准确评估受影响的终端范围，以便采取更有效的响应措施。

4、搞得定——协同防御

为避免软件供应链攻击在内网爆发，可以终端边界双管齐下：终端层面，阻止问题软件运行（直至软件厂商发布可靠的更新程序），并进行全网病毒扫描和查杀；边界层面，根据情况，建立问题软件网络通信的阻断策略，直至警报解除。

当然，由于软件供应链攻击本身具有极强的隐蔽性，而且涉及软件的分发传播、更新以及管理等各个环节，建议政企单位从软件安全和业务自身等多角度出发，做好日常的安全管理运维，多关注厂商安全事件公告，建立长效预警机制，从而更全面地解决软件供应链的安全挑战。

原文始发于微信公众号（奇安信集团）：别让“驱动人生”撬开你的安全防线