快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

马老师聊内网安全:浅谈软件供应链攻击与内网防御

随着软件供应链攻击的越来越多,信赖人人已经对这类攻击方式有所了解了,修改软件下载源头的软件代码,植入恶意,引诱下载使用是这类攻击的首要特征。Xshell 就是典型的供应链攻击,无非 Xshell 是其官网网站的程序包被放入修改后的恶意 dll 导致,因为是官方下载源所以范围更广。但扩大看,实在各下载网站、网盘、甚至 im 群工具同享等统统提供下载或更新的互联网上的存储地位,都可以作为供应链挟制的原始受害者以及攻击方。Xcode 就是行使用户讨厌苹果官网下载 Xcode 缓慢的感情,引诱人人从百度网盘中下载修改版的 Xcode,终极导致逐步扩散开来。

要是全民软件qq、微信出现软件供应链攻击。。。后果,不敢想!

那怎么避免本人的内网终端成为软件供应链攻击的受害者呢?阐发软件供应链攻击者的思路,他的目的是引诱下载运行,通过内置的窃密代码窃取并外传归敏感数据,黑客工具,当然也有弄僵尸的。站在这个目的的基础上,我们来思考下。实在解决方向很简单,然则完成细节需要我们进一步抉择。

1、从根源出发,只用本人的

确立自研软件库,整个工具软件,甚至娱乐软件均自行完成,可见这类要领成本高的可骇,估计只有少数大鳄企业可以,如google。

浅谈软件供应链攻击与内网防御

阐发员工的软件使用习性,从360的全民应用的软件分类中总结下:

浅谈软件供应链攻击与内网防御

一、可用阅读器替换的:

1)各类视频播放器,音频播放器

2)游戏类、手游电脑版。ps:上班玩什么游戏!

3)其他,如:下载工具、图形图像、涉猎翻译、收集应用(云盘等)、主题壁纸、教育学习

2、可用阅读器云服务替换的:

1)办公软件,office系列、wps系列等,可用阅读器走访的云办公替换,如google的云办公、微软的office系列

2)输入法,qq拼音输入法、google输入法、搜狗输入法等,可用云输入法代替,例如谷歌云输入法

三、没必要在公司使用,建议禁止的

1)体系工具,一般都是些优化体系类的,员工使用必要性不大;

2)手机数码,通常是手机治理等软件,且手机会自动给电脑装置软件,所以不建议员工在公司使用;

3)股票网银,这种软件比较特殊,自行开发触及到隐衷,可禁止员工在公司使用或用阅读器代替;

四、必须自我开发的:

1)阅读器程序,这个肯定是必须的; 

2)刻录工具可提供专程的it服务,压缩必须自我开发完成;

3)编程开发,如vs、ecslipes等,可用开源的审计后修改使用,当然也能够本人开发

五、 需要审计供应商的:

1)行业软件,这种就是大型的专业软件了,可根据工作需要自行开发,或以担保方式购买

综上,阅读器程序、办公软件、输入法类、压缩、编程开发类等是必须自研开发的,显而易见google都完成了,要是你够牛,你也能够参考,虽然成本巨大,然则彻底脱节了软件供应链攻击。

二、确立安全软件库,进行安全审计、及时更新

确立本人的安全软件库,软件库中的软件均经过安全人员审计,并及时推动更新,保障软件更新性。

浅谈软件供应链攻击与内网防御

这是常规的思路,也就是把从互联网下载的软件审查一遍,确定安全性后放入公司内部的软件库。因为尽大部分都是闭源软件,所以基本思路以下:

一、杀毒软件检测作为第一层

1)多杀软检测环境搭建。一般仅包括卡巴斯基、赛门铁克、微软等几大支流厂商,小厂经常跟风报毒、过度依靠启发式等问题,误报大,不建议作为衡量标准

2)多引擎,如virustotal,这里需要上传整个需要检测的文件,毕竟 md5检测存在很多不存在md5的情形,写批量上传的脚本工具,请参考 https://www.virustotal.com/en/documentation/public-api/ ,当然也能够用virustotal 提供的工具VirusTotal Windows Uploader ,右键全选多个文件落后行手工上传,如:

浅谈软件供应链攻击与内网防御

浅谈软件供应链攻击与内网防御

上传后阅读器会自动关上对应数量的效果页面,且会以sha256标识

        浅谈软件供应链攻击与内网防御

b、主机hips监控第二层

建议使用Malware Defender,可到http://labs.360.cn/下载,通过配置监控规则,可记录每一个程序的文件、注册表、收集等整个举动,以下

浅谈软件供应链攻击与内网防御浅谈软件供应链攻击与内网防御浅谈软件供应链攻击与内网防御

然后阐发确认是否存在黑ioc。

c、专家阐发生发火为第三层

这个取决于阐发能力,一般行使捏造机运行软件,然后阐发主机日记、收集日记、进程、服务、启动项等等ioc。要领与安全监控没有本质却别,只是日记更多。

d、大数据阐发生发火为最后一层—第四层

当前热的一塌胡涂。提取数据、定义特征,使用聚类等阐发要领确定正常软件以及非正常软件。但据了解安全监测应用大数据阐发还不是很成熟,但也算是一个方案吧。

但虽然我们做了这么多,然则这里有几个问题没法避免

a、审查没法排除100%的问题,这触及到安全人员的手艺水平以及业内攻击的手段更新情形,尤为是0day的漏洞根本是没法检测出。所以没法做到较高的安全性。

b、软件更新频仍,需要大批人力复杂,运营成本高。

c、 存储环境也需很完整,尤为是批量拉取更新等,机器性能重要

3、开放下载

开放下载的同时要确立收集封闭的软件运行环境,禁止任何未授权的软件外联举动,解决黑客窃取敏感数据的症结点。

浅谈软件供应链攻击与内网防御

这个思路比较独特,黑客供应链攻击的目的是控制终端,无论是窃取敏感数据照样控制机器都需要软件外联,那实在除了更新我们不需要让软件做任何外联举动,甚至我可以不让它自动更新,仅允许去官网主动下载。

那么问题的难点就演化成,区别进程以及收集举动的对应关系。这个可以开发程序完成,要是懒得写代码也能够用一些工具(如cports等)记录日记获得,也可用主机防火墙日记,这个要领照样挺多,人人任意发挥即可。联网控制详细做法以下:

一、阐发软件外联,不区别是否恶意

想阐发出每一个外联要求的缘故起因是难度系数极高的事情,加密收集协定、加密内容、混淆内容、私有协定包装等让阐发人员没法判断外联发出的要求包内容,没法判断外联目的,以下:没人能肯定软件为什么外联,也许官方说我在上报状态,我在更新,我在传输报错数据,那你就真的可以信赖吗?google的chrome阅读器近来不是爆出因为bug上传小我私人下载文件元数据的事情嘛。

浅谈软件供应链攻击与内网防御浅谈软件供应链攻击与内网防御

这里可以像作者同样用工具监控程序外联进行阐发,当然也能够通过收集层日记+主机日记等阐发程序外联共性等。

2、控制外联ip,屏蔽统统外联

可以用windows防火墙,也能够用一些第三方的防火墙,笔者直接用火绒屏蔽了联网。当然这个屏蔽不是很周全,例如我用powershell的wget操作就没有拦截,火绒的内置策略我没深入研究。照样建议用专业的防火墙,似乎毛豆小我私人防火墙不错,只是设置似乎很复杂。

此外,完成公司级别收集策略控制还需要考虑很多

1)统一控制是必要的

让员工自行屏蔽外联是不可能的,比较靠谱的办法是域策略、出口防火墙等,在此再也不细说,信赖人人这方面都了解很多了。

2)软件模块更新或组件下载

例如eclipse这种工具,需要下载很多模块,一般都是要联网下载的,用户手工触发或自动更新。这里很难排除下载的模块是否被更改,但下载地址可设置(区调设置地址以及阐发出真实下载地址,确立员工申请开通流程)。

浅谈软件供应链攻击与内网防御

我们仅开通此部分下载源的外联,其他不开放。下载后的模块以及宿主程序作为一体对待,禁止其他外联(内网通讯不禁止,解决联调、联合开发等问题)。

3)用户主动外联

如github同步等问题,如不允许外联则会造成没法同步等问题。好在地址是可阐发后提前开通的。

虽然做了这么多,然则这里有几个问题没法避免或者说需要进一步优化

a、铺开互联网下载,那么阅读器下载、迅雷下载、bit下载等工具的外联是完全铺开的,要是这些工具被行使,如供应链攻击、注入、漏洞等,这里就需要结合上面提到的软件审计定义标准软件,还要使用Emet等工具防止注入以及漏洞行使。当然0day的问题无法完全避免,但因为阻止了其他程序外联,那么黑客想成功的前提就变成:当前版本下载工具的0day+行使当前下载工具作歹,但实在一般都是0day后下载大马,自力运作,要是不自力运作,作歹大马因为体量大,注入到当前版本下载工具没法行使0day漏洞注入,常规注入也会被Emet发现。这个安全危害就大大降低了。

b、这类方式容易造成员工抵触,例如很多工具没法使用,如网银、游戏等工具,这就需要对外联地址进行大范围阐发,无非外联地址都很固定,阐发量不会巨大,但因为软件版本更新、新增热点游戏等问题,我们需要多关注软件连通性中止的问题,实时监控,联动响应阐发开通,最大限度降低员工抵触。

综上,匹敌软件供应链攻击照样很复杂的,每种要领都有其优瑕玷,从根本解决成本太大,正所谓没有尽对的安全,只有不断的匹敌!

最后,虽然讲了很多方面,但因为小我私人的能力有限,没法周全笼盖,欢迎各位大牛私信探讨,感谢!!!

*

您可能还会对下面的文章感兴趣: