黑客攻击手段升级：恶意软件植入合法软件之中

周一，思科Talos安全研究部门透露，上月黑客破坏了超流行的免费电脑清理工具CCleaner，将一个后门插入到该工具的应用程序更新中，至少影响了数百万台个人电脑。这种攻击将恶意软件直接植入了CCleaner开发商Avast的软件开发过程，并通过安全公司分发给用户。这种攻击越来越常见。在过去三个月里，黑客三次利用软件供应链中的漏洞在软件公司自己的安装程序或系统更新中植入恶意代码，并通过那些受信渠道传播恶意代码。
　　思科Talos团队负责人克雷格·威廉姆斯（CraigWilliams）表示“这些供应链攻击有相关性。“攻击者意识到，如果他们能找到那些没有采用有效安全防范措施的软件公司，他们就可以劫持起客户群，并将其用作自己恶意软件的安装基础。我们发现的类似情况越多，也就意味着类似的攻击越多。“
The configuration file does not exist.

　　根据Avast透露，从应用程序第一次被破坏开始，植入恶意软件的CCleaner应用程序的已经安装了287万次。直到上周，一个测试版的思科网络监控工具发现了其中问题。事实上，以色列安全公司Morphisec早在8月中旬就提醒了Avast注意此类问题。而Avast虽然对CCleaner的安装程序和更新进行了加密，以防止攻击者在没有加密密钥的情况下进行欺骗下载。但是黑客们的高明之处在于，其在数字签名生效之前就已经侵入了Avast的软件分发流程，这样一来安全公司本质上是为恶意软件打上了安全的标志，并把它分发给用户。
　　两个月前，也有黑客利用类似的软件供应链漏洞将破坏性软件“NotPetya”分发至数百个乌克兰的目标，同时也传播到了其他欧洲国家和美国。该软件是一种勒索病毒，在乌克兰其通过一款被称为MeDoc的会计软件更新进行传播。?NotPetya使用MeDoc的更新机制作为依托，然后通过企业网络进行传播，造成了包括数千乌克兰银行和发电厂等公司业务瘫痪。线管影响甚至波及到了丹麦航空业巨头马士基以及美国制药巨头默克公司。

一个月之后，俄罗斯安全公司卡巴斯基研究人员发现了另一个软件供应链攻击，他们将其称之为“Shadowpad”：黑客将一个后门程序通过企业网络管理工具Netsarang的分发渠道下载到了韩国的数百家银行，能源和药品公司公司。卡巴斯基分析师IgorSoumenkov当时写道：“ShadowPad是一个关于软件供应链攻击的典型例子，也表明这种攻击方式是可多么危险和广泛。”
　　对软件供应链的攻击已经多次出现。但是，安全公司RenditionInfosec的研究员和顾问杰克·威廉姆斯（JakeWilliams）表示，这些攻击事件也引起了人们对安全的高度关注。威廉姆斯说：“我们往往依赖于开放源码或分布广泛的软件，恰恰这些软件本身就是易受攻击的。对于黑客来说，这些目标唾手可得”
　　威廉姆斯认为，黑客攻击向供应链的转移部分原因是用户端的安全性不断提高，而公司也通过各种防火墙切断了其他较为容易感染病毒的途径。现在，要发现MicrosoftOffice或PDF阅读器等应用程序中可能存在的漏洞并不像以前那样容易，而且越来越多的公司都在发布安全补丁。威廉姆斯说：“总体上的网络安全性越来越好。但这些软件供应链攻击打破了以往的所有模式，他们能够通过防病毒和基本的安全检查，有时安全补丁本身就是攻击源。
　　在最近的一些安全事件中，黑客还通过另一种方式对软件供应链进行攻击，其攻击的不仅仅是软件公司，而且还会攻击这些公司程序员使用的开发工具。2015年底，黑客在中国开发人员经常光顾的网站上分发了苹果开发者工具Xcode的假冒版本。这些假冒工具将称为XcodeGhost的恶意代码注入了39个iOS应用程序，其中不少软件还通过了苹果的AppStore评测，导致了大规模的iOS恶意软件爆发。就在上周，斯洛伐克政府警告称，Python代码库或PyPI中已经被加载了恶意代码。