从供应链攻击报告研读,到近期热议事件浅析
回顾自己写的文章,大多都是实践总结类,质量有高亦有低。在实践之前,其实也会去看最佳实践案例,但不太感兴趣行业报告,总觉得很高大上且空洞,获益较浅。不过,随着这几年陆续接触到一些做科研的老师、重视理论和方法论的客户…观点逐渐产生了改变。在回顾看这类报告时,似乎已经能够看出点内容来指引实际工作。遂,计划新写一个系列文章,专门用于记录和分享研读行业报告之后的收获、及应用。
该报告《供应链攻击威胁局势报告》,至少有三大亮点收获:
- 一是供应链攻击的概念,之前我们总能看到各类供应链攻击,但要问到定义时不一定能讲清楚;
- 二是提出供应链攻击的分类系统,涉及到具体的攻击手法分类和攻击资产分类,对于分析一起供应链攻击时能够快速梳理出框架,似乎更容易被大脑接受;
- 三是提供了大量发生在2020.1–2021.7的知名供应链攻击案例及分析,更能帮助理解供应链攻击分类、以及攻击思路。
本文将供应链攻击的定义和分类系统进行摘录,并尝试将所学应用于分析当下热议的XZ/liblzma,以及分析即将开始的国家级攻防实战演习筹备。
01
—
基本信息
1.1 ENISA
欧盟网络安全局(the European Union Agency of Cybersecurity),成立于2004年,致力于整个欧洲实现高水平网络安全的联盟。为欧盟网络政策做出贡献,通过网络安全认证计划增强 ICT 产品、服务和流程的可信度,与成员国和欧盟机构合作。
ENISA对外发布了很多权威的网络安全报告,官网上有很多细分领域的文章,值得网络安全从业人员的关注。
1.2 Threat Landscape
ENISA在2021年发布的供应链攻击态势报告,虽说是快3年前的报告,但仍然是供应链领域发布的最新版本。
1.3 Report Structure
该报告分七个章节围绕供应链攻击的定义、生命周期及分类进行介绍,最后用24个攻击案例进行进行剖析。此外还将供应链攻击与APT进行关联,认为供应链攻击的每个组成部分可看作APT攻击,其生命周期一般也遵循APT攻击的攻击阶段。但是供应链分析系统描述了供应链攻击本身的所有详情,因此有可能成为MITRE ATT&CK?知识库的补充。
02
—
What is a supply chain attack?
供应链是指创建和传递最终解决方案或产品时,所涉及到的流程、人员、组织和分销商。在网络安全领域,供应链涉及范围很广泛,包括资源(硬件和软件)、存储(云上或本地)、分发途径(web应用,线上商店)以及管理软件。
在一个供应链中有四个关键元素:
- 供应商:提供服务或产品给另一个实体的实体(一个实体可以是个体、独立的团体,或组织);
- 供应商资产:供应商用于生产或提供服务的有价值的元素(资产可以是人员,软件,文档,金钱,硬件或其他);
- 客户:供应商提供服务或产品的实体;
- 客户资产:目标的有价值元素。
一个供应链攻击至少是两次攻击的结合,第一个攻击是供应商及其资产,第二个攻击是供应商提供服务的客户及其资产。
03
—
Taxonomy of supply chain attacks
该报告提出一种分析系统对供应链攻击进行分类,并将后续分析结构化。该分类系统考虑到供应链的四个关键元素以及攻击者所使用的技术。该分析系统有助于组织机构了解供应链攻击的多个组成部分:供应商攻击技术、供应商被攻击资产,客户攻击技术和客户被攻击资产:
* Drive-by Compromise[T1566],路过式攻击,如挂马,网站上的恶意脚本通过恶意软件传染给用户。
3.1 Attack techniques used to compromise a supply chain
用于攻陷供应链的攻击技术,是指攻击“如何”发生(指攻击类型),而不是用“什么“发动了攻击(指实际实现攻击的手法)。如下列举的攻击技术类别,涵盖了供应链攻击中最常使用的攻击技术。任何一个类别中,都可能用到不止一种攻击技术。
* Conterfeiting(伪造),例如恶意程序模拟USB启动,植入后门。
3.2 Supplier assets tagerted by a supply chain attack
遭攻击的供应商资产指的是针对供应商的攻击目标是“什么”,便于发动后续攻击(后续在此基础上,攻击供应商的客户)。一项或多项目标资产通常和最终目标之间存在直接关系,而且通过分析受影响资产清单,就很有可能了解攻击者的最终意图。
3.3 Attack techniques used to compromise a customer
用于攻陷客户的攻击技术,指在通过供应商攻陷客户过程中使用的攻击技术。每种技术识别攻击如何发生而非被攻击的是什么(这个概念如3.1中一样,是类型与具体事项方法的关系),同一起攻击中可能使用了多种攻击技术。
* 值得关注:Trusted Relationship[T1199], 如信任证书、信任产品自动升级、自动备份,这非常难防守。
3.4 Customer assets targeted by a supply chain attack
遭受攻击的客户资产,通常是攻击者的主要和终极目标。
每个元素说明客户遭受攻击的是什么,不同的攻击技术可能用到相同的攻击资产上。
04
—
基于分类系统的实战应用
在该报告中,个人认为最有用的要数分类系统,可以把它用作指南模板,用于分析新型的潜在供应链攻击。用两个近期相对贴近的案例,进行简单分析以落地所学的方法论,如下所述:
4.1 XZ/liblzma后门案例浅析
本周六一大早,看到工作群里被领导艾特准备XZ应急。这是一起针对开源组件的投毒事件,看了下openwall上的分析,攻击方法和危害远比之前遇到的要复杂。
随着研究的人越来越多,从深度上大概知道了其复杂的利用原理、从广度上看到了可能影响到其他生态的组件。信息比较多,对外发文的除了安全厂商,还有很多从业者的公众号。看多了感觉思路不清晰、甚至有点乱,于是就按照分类系统框架进行了梳理:
4.2 今年实战演习风险分析示例
近期,有小道消息称今年的国家级实战演习聚焦在:软件供应链安全。相关部门欲通过实战对抗,发现防守方供应链安全管理存在问题,从而督促防守方加强供应链安全管理。但若要参加演习,仅加强自身的供应链安全管理还不够。因为每家公司就是供应链上的一环,受上游供应商影响的同时,还提供软件或服务给下游客户。故可借助分类系统辅助分析,得出应该加强安全建设的具体方向:
在报告的原始内容基础上,依据实际情况对供应商和客户使用到的攻击方法和资产进行调整,如:
- 在供应商视角下:增加了物理攻击、伪造攻击和对上游供应商的攻击分类,攻击资产减少了供应商,增加了产品云端公共服务,并将可能遭受到的攻击底色标黄;
- 站在客户视角下:增加了软件产品漏洞利用攻击分类,这实际上确实是防守方面临的最大实际风险之一。
关于该分类方法的落地,可以简单的总结为:结合实际情况,按照分类进行实例化,从而梳理出面临的风险途径并加以治理。如就安全公司提供安全产品而言,在供应商表格的右侧可提炼出五类风险需要治理。进而再切换到用户视角,可能传递风险的途径有产品漏洞(对应供应商风险中,OEM产品漏洞、三方组件漏洞和自研产品漏洞)和产品升级信任关系(对应供应商风险中,三方组件投毒、产品发布流程攻击、产品云端公共服务攻击等)。
至此已经分析出从供应链视角,安全厂商或软件提供商要做好供应链安全,需要重点关注的三个方面:产品漏洞,产品升级机制/通道安全,及对供应商的安全管理。