一年四起供应链投毒事件的幕后黑手

VSole2024-01-02 13:30:08

2017年,黑客入侵Avast服务器,在CCleaner更新中植入恶意代码,被数百万用户下载。

2017年,M.E.Doc遭黑客攻击,篡改更新植入NotPetya,影响全球公司。

2020年,黑客入侵SolarWinds服务器,植入恶意代码影响客户敏感信息,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。

...

以上事件,均由黑客发起的供应链攻击引发。


供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接,个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商,利用其服务或软硬件作为入口点进入目标网络。然后,通过供应链将风险扩大到其他企业和用户,造成巨大的影响。


概述


2023年4月,深信服安全运营中心(MSS)安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件,目标是PHP/JAVA部署工具OneinStack。同月,深瞻情报实验室还发现LNMP供应链投毒事件,随后在9月和10月又发现两起供应链投毒事件,分别涉及LNMP和Oneinstack。


根据该团伙常用C2服务器特征,高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。


经过关联分析,深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性,且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动,包括供应链投毒攻击以及动态链接库远控后门。


2023上半年至今,这个黑产组织利用多种攻击手段,包括仿冒页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)和公开web漏洞等,有针对性地对运维人员进行攻击。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,与攻击者C2服务器建立DNS隧道连接。


该黑产组织通过定向投毒运维部署工具供应链,长期远控低价值主机作为肉鸡,择机选择高价值目标进行深度控制。随后他们会下发Rootkit和代理工具,伺机从事各类黑产活动,给用户造成实际损失。


供应链投毒事件时间线



4月OneinStack供应链投毒事件


2023年4月,PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。攻击者在官方网站下载安装包中植入恶意链接,已发现境内用户受到感染。


在OneinStack官方网站的安装程序中,/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。当用户从恶意地址下载oneinstack.jpg后,该文件会解压并执行./cron目录下load。



在load执行后,首先会判断受害主机是否为RedHat服务器。然后,它会从download.cnoneinstack.com下载一系列恶意文件,包括t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等,并将他们解压至/var/local/cron目录下。最后,利用crond实现持久化建立DNS隧道通信。



4月LNMP供应链投毒事件


2023年4月和9月期间,Linux服务器部署工具LNMP遭受了供应链投毒的攻击。此次事件使用了与上文类似的攻击手法,因此怀疑是同一伙攻击者所为。


在4月LNMP供应链投毒事件中,安装过程中从lnmp01.amdc6766.net下载了lnmp.jpg,解压并执行了包括ba、cr、libxml.2.so.2.9.2等恶意文件。



9月LNMP供应链投毒事件


9月同样出现了LNMP供应链投毒事件。攻击者在lnmp2.0/include/init.sh中植入了恶意代码,并在tools目录下植入恶意二进制程序lnmp.sh。



执行lnmp.sh后,首先判断受害主机是否为RedHat服务器,然后从download.lnmp.life下载后阶段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等恶意文件,并将它们解压到了/var/local/cron目录中。最后,通过crond实现持久建立DNS隧道通信。


10月OneinStack供应链投毒事件


2023年10月6日,Oneinstack官方镜像网站的最新安装包再次被投毒。这次投毒行为是通过植入恶意代码到oneinstack/src/pcre-8.45/configure文件实施的。攻击者从download.oneinstack.club下载了osk.jpg,解压并执行了./cron目录下load。



load执行后,首先判断受害主机是否为RedHat服务器,然后从download.oneinstack.club下载后阶段t.jpg,s.jpg,install,cr.jpg,libstdc++.so.2.0.0等恶意文件,并将它们解压至/var/local/cron。最后,通过crond实现持久建立DNS隧道通信。


四起事件,指向同一个幕后真凶!


2023年10月,深信服XDR监测到某用户主机crond被替换加载了/libxm2.so.2.9.2等远控后门,同时发现sshd程序的动态链接库劫持/lib64/linux-x86-64.so.2,记录了ssh密码并设置了后门密码360bss3200189。


随后的监控发现了异常DNS定时请求,怀疑主机上可能还存在其他的守护进程。通过对主机的调查,发现这些DNS请求是由Rootkit内核线程发起的。


攻击者可以通过这些DNS请求下发控制命令。例如获取系统版本信息、执行命令、获取文件、执行socks5代理工具等。



此次攻击事件的完整攻击流程,如下图:



通过此次攻击事件的分析,发现与上半年监测到的多起供应链投毒事件存在较高的TTPs相似性,原因如下:


1.攻击套件参数和伪装手段一致


本次攻击者最初攻击套件中的install和src.jpg,install执行命令参数为linux@QWE,使用jpg后缀作为tar包的伪装,其攻击手法与OneinStack供应链投毒事件中的初始攻击套件一致。



2.使用crond服务持久化和后门动态链接库


本次攻击者下发/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2动态链接库劫持,作为远控后门,建立DNS隧道连接。



OneinStack供应链事件中后续下载的crond、libaudit.so.2等恶意文件,同样是利用crond服务动态链接库劫持,建立DNS隧道连接,进行持久化。



3.相同的域名amdc6766.net和攻击手法


内网某台主机存在后门程序/usr/lib/libxm2.so.2.9.2,其外连域名为aliyun.amdc6766.net。



在4月份的LNMP供应链投毒事件中,LNMP的安装过程中,从恶意域名lnmp01.amdc6766.net下载了lnmp.jpg文件。随后,该文件被解压并执行了ba、cr、libxml.2.so.2.9.2等恶意文件。该事件中的域名结构、恶意文件命名结构、攻击手法与上述事件高度相似。



由此可以推断“amdc6766”团伙与这次异常定时DNS请求攻击事件高度相关。四起供应链投毒事件的核心攻击手法相同:


  • 恶意文件伪装为jpg


  • 加载器的参数相似linux@QWE或linhkkngf@QWE


  • install执行参数相同linux@QWE


  • 利用crond服务实现持久化


  • 执行crond程序加载恶意动态链接库


  • 建立DNS隧道连接


不讲武德,仿冒网站后投毒


经过深信服深瞻情报实验室对可疑域名amdc6766.net的关联分析,获得以下子域名。据了解,该域名常用于供应链投毒攻击以及动态链接库远控后门,因此内部将该团伙命名为代号“amdc6766”黑产组织。



今年4月,监测发现可疑xiandazm.com域名仿冒AMH面板官网。



仿冒页面中的AMH面板部署脚本已被替换为恶意链接。该安装脚本中注入恶意代码从down.amh.jpg下载amh.jpg,提供linux@QWE执行load,后续阶段与供应链投毒攻击无异。



根据恶意文件和网空特征关联到多个仿冒运维部署工具的网站。



“amdc6766”黑产组织长期以来一直利用仿冒页面、供应链投毒及公开web漏洞等攻击方式,针对运维人员常用软件Navicat、Xshell、LNMP、AMH、OneinStack、宝塔等开展定向攻击活动。经过前期潜伏发现高价值目标后,他们会采取持久化手段,例如植入动态链接库、Rootkit、恶意crond服务等,控制受感染的主机,伺机发起各类黑产攻击活动。


思考:如何防范供应链攻击


对于防范供应链攻击而言,难点在于,攻击者只需找到软件供应链的一个弱点,就能轻松入侵并造成危害。然而,防守方企业需要对整个供应链上下游进行全面的安全防护。由于供应链的复杂性,追溯和清除攻击痕迹都是十分困难的,而这对大多数企业来说既不可行又不现实。因此,企业的重点应该是进一步提升自身的安全防护能力和意识,即使上下游供应链遭到黑客入侵,也能确保自身数据的安全。


在此,我们提醒您:


  • 验证软件来源:在部署新的运维工具或更新时,确保从官方可信赖的渠道获取软件,避免使用来路不明的软件包。


  • 签名验证:对于软件包和更新,验证数字签名以确保其完整性和真实性,避免被篡改的恶意软件。


  • 安全审计:定期对运维工具和软件进行安全审计,及时发现潜在的安全隐患和恶意代码。


  • 供应商信任:与可信赖的供应商建立长期合作关系,了解其安全实践和供应链管理措施。



# 黑客

供应链lnmp
本作品采用《CC 协议》,转载必须注明作者和本文链接
供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接,个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商,利用其服务或软硬件作为入口点进入目标网络。然后,通过供应链将风险扩大到其他企业和用户,造成巨大的影响。
在调研机构Gartner公司随后进行的一项调查中,90%的企业表示计划通过投资适当的技术来提高其供应链的弹性。例如,许多依赖从全球各地运送物资的企业投资于事件监控,以了解飓风或地震等潜在天气事件。Kose评论说:“目前,解决方案市场十分分散,尽管有些解决方案在一个或几个用例中非常好,但实际上没有单一的、全面的解决方案。”开发商接受挑战对于软件开发人员来说,Kose这一评论听起来很像是一种挑战。
根据您的舒适程度调整隐私设置对于每个应用程序、帐户或设备,检查隐私和安全设置。将它们设置为您对个人信息共享感到满意的水平;通常,我们认为倾向于共享较少数据而不是更多数据是明智的。除了管理您的数据隐私设置外,请遵循一些简单的网络安全提示以确保其安全。设计设置以默认保护他们的信息。更好的家庭安全和隐私行为将转化为更好的工作安全和隐私实践;提醒员工更新工作和个人帐户的隐私和安全设置。
SDL建设的目的其实很明确,就是将安全手段前置,尽可能地降低产品安全风险,减少后期的维护成本。整个SDL流程并不复杂,复杂的是具体实施细节。如果业务太多,人员不够,可以针对重点项目实行SDL流程,从需求分析、设计、编码、测试、发布等形式,以工具及其他人员配合的方式促进工作的进行。开发环节严格遵守开发规范,在软硬件发布前,交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
御攻击者于供应链
2022-12-30 17:20:25
供应链是公司内部深层次的复杂环境,涉及公司大部分基础设施、运营、人员和外部关系,比如供应商、合作伙伴和客户。保护供应链很难,因为安全团队需要照顾的敏感节点、线路和流程太多:软硬件资源、云、混合环境与本地环境、各个平台,以及Web应用。
软件供应链管理公司Sonatype发布的一份最新报告显示,涉及恶意第三方组件的供应链攻击数量在过去一年增加了633%,目前已知的案例超过8.8万起。Sonatype的监测数据显示,截至2022年8月,固定版本Log4j的采用率约为65%。截至去年年底,Sonatype追踪了大约1.2万起已知的恶意供应链攻击事件,现在这一数字已超过8.8万起,同比增长633%。
供应链攻击持续呈上升趋势,许多企业似乎不确定如何应对这样的威胁,Datto第三方风险经理Jaime Arze在近期的一次公开分享中,为企业提出了以下几个步骤,来最大程度地降低企业也卷入供应链违规的风险。持续管理供应商完成初始风险评估后,企业不要忘记跟进调查结果。事件响应、数据检索、数据所有权和评估权都应事先达成一致。
此执行链的目标是在每次启动时从受感染的UEFI组件开始将内核级植入部署到Windows系统中。研究人员指出,这一特定活动似乎高度针对中国的特定个人,在伊朗和越南也出现了一些案例。
对云托管平台、较弱的身份验证解决方案和公共工具的依赖已经变得普遍,而且现在已经没有回头路。人们所处的密集生态系统都在向其他一切渗透,企业之间的联系只会变得更加密切。
VSole
网络安全专家