360-2017年度安全报告网络安全——供应链-2018.1-22页（24页）.pdf

1、360 Computer Emergency Readiness Team, January 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 Supply Chain Security XshellGhost 事件 Ccleaner 恶意代码攻击事件 OSX/Proton 后门（Elmedia Player 软件）攻击事件 Chrome 插件 User Agent Switcher 供应链攻击事件 全国多省爆发大规模软件升级劫持攻击 Wordpress Keylogger 事件 2017 年度安全报告供应链攻击 2017 年度安全报告供应链攻击 360 Computer

2、 Emergency Readiness Team, January 20182 传统的供应链概念是指商品到达消费者手中之前各相关者的连接或业务的衔接，从采购原材料开始，制 成中间产品以及最终产品，最后由销售网络把产品送到消费者手中的一个整体的供应链结构。 近年来我们观察到了大量基于软硬件供应链的攻击案例，比如针对 Xshell 源代码污染的攻击机理是攻 击者直接修改了产品源代码并植入特洛伊木马；针对苹果公司的集成开发工具 Xcode 的攻击，则是通 过影响编译环境间接攻击了产出的软件产品。这些攻击案例最终影响了数十万甚至上亿的软件产品用户， 并可以造成比如盗取用户隐私、 植入木马、 盗取数字

3、资产等危害。 接下来我们将从划分出来各环节的角度， 举例分析这些针对供应链攻击的重大安全事件。 供应链攻击年终报告 2017 年度安全报告供应链攻击 360 Computer Emergency Readiness Team, January 20183 发布厂商发布时间相关分析报告报告详细链接 Qihoo3607.12全国多省软件升级劫持攻击事件数据分析 Kaspersky9.7XShellGhost 事件技术回顾报告 B%B6%E6%8A%80%E6%9C%AF%E5%9B%9E%E9%A1%BE%E 6%8A%A5%E5%91%8A.pdf Piriform9.18CCleaner 恶意

4、代码分析预警 8b872a73b18d220 v2ex9.20 chrome（browser）mac 播放器的供应 链攻击（macos） B%B6User-Agent%20Switch- er%E6%81%B6%E6%84%8F%E4%B B%A3%E7%A0%81%E5%88%86%E6%9E%90%E6%8A%A5%E 5%91%8A.pdf eltima10.21 OSX/Proton 后门通过供应链攻击（El- media Player 软件）传播 037fc7 Automattic12.8Wordpress Keylogger 事件分析 15c5e46620e 下面是小编收集到的今年

5、部分供应链攻击事件 ( 排名不分先后 ): 2017 年度安全报告供应链攻击 360 Computer Emergency Readiness Team, January 20184 开发工具污染 XshellGhost 事件 2017 年 8 月，非常流行的远程终端管理软件 Xshell 被发现植入 了后门代码，导致大量使用此款工具的用户泄露主机相关的敏感信 息。同时，近期大量的使用软件捆绑进行传播的黑产活动也被揭露 出来，从影响面来看这些恶意活动的力度颇为惊人，这类来源于供 应链并最终造成巨大危害的安全事件其实并不少见，而我们所感知 的可能只是冰山一角而已。 针对开发工具进行攻击，影响最为

6、广泛的莫过于 XcodeGhost （Xcode 非官方版本恶意代码污染事件），值得一提的是早 在 30 多年前的 1984 年，UNIX 创造者之一 Ken Thompson 在其 ACM 图灵奖的获奖演讲中发表了叫做 Reflections on Trusting Trust（反思对信任的信任）的演讲。他分三步描述了如 何构造一个非常难以被发现的编译器后门，后来被称为 the Ken Thompson Hack（KTH），这或许是已知最早的针对软件开发 工具的攻击设想。而最近的 XcodeGhost 最多只能算是 KTH 的 一个简化版本，没有试图隐藏自己，修改的不是编译器本身，而是 Xc