揭秘新發現的供應鏈攻擊

武新沂

隨著網絡安全防護技術的提高，攻擊者要想再利用以前的攻擊技術來獲得成功，越來越難了。所以黑客也正在琢磨著提高攻擊成功率的方法，例如利用用戶對軟件供應商的信任等。

大多數用戶認為，只要軟件供應商值得信賴，那他們的產品也一定沒有安全問題。而攻擊者正是利用了這個心理，發起了所謂的“供應鏈攻擊”，因此在安裝軟件或更新時，用戶時刻都要仔細檢查源代碼站點，以確保它是合法的，只有這樣才能讓代碼放心地在我們的計算機上運行。隨著開發人員對軟件和網頁的防護能力越來強，在過去幾年中，黑客越來越多地是利用這種供應鏈信任來傳播惡意軟件。

近期，在不到一周的時間里，研究人員發現了兩起新的利用供應鏈進行攻擊的事件。

第一個涉及到VestaCP，這是一個系統管理員用來管理服務器的控制面板界面。Censys執行的互聯網掃描顯示，目前有超過132 000個未過期的TLS證書可以保護VestaCP用戶。根據安全公司Eset最近發布的一篇帖子，有未知的攻擊者破壞了VestaCP服務器并利用他們的訪問權限，對可下載的安裝程序進行了惡意更改。

供應鏈攻擊過程

Eset惡意軟件研究員Marc-étienneM.Léveillé表示：VestaCP安裝腳本被攻擊者修改后，可以在安裝成功后向vestacp.com報告生成的管理員憑證。我們并不確切知道這種情況是何時發生的，但修改后的安裝腳本在2018年5月31日～ 6月13日期間，已經出現在了GitHub上的源代碼管理中。

目前，對這個攻擊還在進一步研究中，在調查完成之前，仍然不清楚攻擊是如何發生的。根據Léveillé的初步調查結果，黑客最有可能是通過利用VestaCP軟件或用于傳播它的服務器中的關鍵漏洞開始的，這使得攻擊者可以自行控制攻擊過程。也就是在此期間，攻擊者將密碼嗅探函數添加到安裝源代碼中，此時VestaCP軟件已經包含了從用戶服務器向vestacp.com網站發送統計信息的代碼。

Léveillé認為惡意代碼只是添加了一些難以解密的代碼行，這些代碼行導致密碼被包含在其中，然后攻擊者利用對VestaCP網絡的控制來檢索被盜密碼。研究人員說，雖然這種方法更復雜，但安全檢測方案更難在源代碼中檢測到惡意代碼。對此，Leveille說：“攻擊者可能會使用密碼通過其安全shell界面登錄服務器。”

使用SSH，攻擊者就可以用ChachaDDoS感染服務器，ChachaDDoS是一種相對較新的惡意軟件，用于對其他網站進行拒絕服務攻擊。該惡意軟件提供了各種高級功能，包括防止管理員在服務器上查找和分析它的方法。Chacha運行在32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC上。近日安全公司Sophos的研究人員公布了一個新發現的DDoS僵尸網絡，他們稱之為Chalubo，幾乎可以肯定它運行的是Eset描述的Chacha惡意軟件。

當時對VestaCP供應鏈的攻擊最少已經有14天了，因為源代碼中記錄時間是14天。類似的帖子顯示，VestaCP用戶早在2018年4月初就報告了服務器遭到黑客攻擊，這比Eset列出的5月31日早了近兩個月。類似這樣的討論表明，在之前惡意修改的代碼從源代碼中刪除之后，影響VestaCP用戶的攻擊仍在繼續。

利用ClipboardHijacking軟件潛入PyPI

第二個供應鏈攻擊涉及一個惡意軟件包，該軟件包已被插入到了廣泛使用Python編程語言的官方存儲庫中。被稱為“Colourama”的軟件包看起來與Colorama類似，Colorama是Python存儲庫中下載量最多的20個合法模塊之一。Doppelg NgerColourama軟件包包含合法模塊的大多數合法函數，但與Colorama有一個顯著區別：Colourama添加的代碼在Windows服務器上運行時安裝了這個Visual Basic腳本。它會不斷監控服務器的剪貼板，以獲取用戶支付加密貨幣的線索。惡意腳本觸發后，該腳本會將支付信息從剪貼板中包含的錢包地址轉移到攻擊者擁有的錢包。

在過去的六個月里，隱藏在PyPI的ClipboardHijacking軟件已被下載了171次（不包括鏡像站點），被感染的服務器不僅必須刪除惡意的Colourama模塊，還必須進行注冊表更改以清除Visual Basic腳本。

根據目前所掌握的證據，兩個新發現的供應鏈攻擊都沒有發生大規模的感染。但這并不代表供應鏈攻擊的威力不大，在2017年爆發的NotPetya攻擊，已被專家形容為一種網絡戰爭。

業內專家預測，供應鏈攻擊在將來會更加普遍，如果可能的話，用戶應該考慮掃描所有下載的安裝程序和更新，并密切關注其名稱的變化，以確保它們與自己要安裝的合法模塊相匹。