如果无法对特定网络进行直接攻击,那么黑客的下一步行动是什么?在许多情况下,这是向上游发展的一种情况:即,确定目标可信任的应用程序,并将该软件用作恶意软件分发的后门手段。
在安全世界中,这些方案称为 软件供应链攻击。 Crowdstrike的最新发现表明,至少三分之二的组织通过其软件供应链受到了打击,因此,此类活动似乎正在增加。
以下是威胁者如何利用供应链进行渗透的详细信息,以及可以采取的减少成功攻击风险的实际步骤……黑客为何针对软件供应链?
比其他选择更容易。总体而言,拥有宝贵数据(即,黑客最感兴趣的目标类型)的大型企业和组织正在增加其安全技术。这提高了组织弥补其系统漏洞的能力;甚至那些以前从未发现过的漏洞。因此,您可以采用软件供应链作为替代方式,而不是直接采取途径。
运作方式如下...
- 您可以确定一个软件应用程序,该软件应用程序在您要定位的行业中很流行(或者您知道您要攻击的特定用户正在使用该软件)。
- 恶意代码被嵌入到软件制造商的输出中(例如,流行应用程序的新版本或例行安全更新)。
- 然后,最终目标用户将下载受恶意软件感染的发行版。
黑客如何做到这一点?
感染第三方代码。 很少完全从头开始构建软件应用程序。通常,它们是结合使用自定义代码以及软件库中的大量脚本来组合在一起的。据《福布斯》报道,来自第三方软件库的代码通常占应用程序代码库的79%。
大多数图书馆是公共领域的。由一支由全球志愿人员组成的军队编写和添加,并且仅受最低限度的安全检查。修改此代码,它会对使用该代码的每个应用程序产生连锁反应。例如,Check Point在Google Play上发现了50个感染了恶意软件的应用程序,这些应用程序均已被不同应用程序开发人员所使用的同一部分第三方代码渗透。
在发布新软件之前,请破坏开发人员的系统。 这就是CCLeaner恶意软件感染的发生方式,从而破坏了Windows优化工具,影响了超过200万用户。通过成功地对软件公司的员工进行鱼叉式网络钓鱼,可以在整个网络中移动,最终可以访问源代码的位置。
定位分发服务器。 如果您可以破坏用于向用户发布更新的Internet服务器平台,则可以将合法文件与受感染文件交换。流行:软件供应链攻击有多普遍?
人群罢工 最近就此在全球范围内对1300位IT主管进行了调查。他们发现了以下内容:
- 三分之二的人遭受了软件供应链攻击。其中,有90%遭受了经济损失。
- 攻击发生在所有领域(尽管生物技术,制药,娱乐&媒体和IT服务受到的打击似乎更为频繁。
- 只有三分之一的受访者表示,他们审查其软件供应商的供应链安全性。
降低风险
审核供应商的安全凭证。 与其依靠空洞的保证,不如寻找具体步骤的证据来防止软件被渗透。这包括内置在软件中的校验位,以识别在开发过程中被更改的所有代码实例。从理论上讲,在分发阶段(即软件驻留在Internet上可访问的服务器上)进行的任何修改都会破坏代码的数字签名。因此,寻找适当的措施来解决这一问题。
坚持批准的供应商。 “太好了,不能成为现实”的供应商,其应用比其他应用便宜,但其服务和安全凭证无法评估:如果您想减少威胁暴露的风险,这些正是要警惕的供应商类型。弥敦楼
内森·豪斯(Nathan House)是网络安全培训和咨询公司Station X的创始人兼首席执行官。他在网络安全领域拥有超过25年的经验,曾为全球一些最大的公司提供咨询服务,以确保数百万和数十亿英镑项目的安全。 内森(Nathan)是广受欢迎的“完整的网络安全课程”的作者,该课程已被195个国家的200,000多名学生选修。 AI的“ 2020年度网络安全教育家”奖获得者。 多年来,他在许多安全会议上发表演讲,开发了免费的安全工具,并发现了领先应用程序中的严重安全漏洞。 PGP指纹:CBA3FBF729FB00CB21D64FB00E7955AE6E37FEF1
嗨,内森,这是一篇内容丰富的文章,因为我到达了有关CCleaner代码的部分,这在我脑海中摇了摇,对自己说“这是CCleaner发生的事情吗” and then it stated “Yes”这是对CCleaner的攻击,也许其中一些老式方法是可靠的(通过邮寄或邮件发送脚本)而没有数字干扰。现在,在网上开展业务时,付出的代价是便利,而我一直认为“HTTPS”URL是无用的,因为这只是很短的时间,因为找到了另一种保护URL的方法,但是,我试图将这种情况告知人们,而且我经常遇到类似“但是,如果银行使用它,那就没有错!”…mmmm这不能解释这些最引起人们关注的FaceBook骇客游戏(被淡化)到5000万的原因,但是它超过了1亿。。因此,本文可能会回答其中的一些问题。谢谢内森!,我将在未来进一步检查您的更多信息。
杂种。
谢谢!
内森
谢谢你的分享。那很聪明。进入软件供应流并操纵目标使用的代码。似乎它需要广泛的知识,并且可能需要多年的编码/软件开发经验。此外,还要知道从何处获取代码以及如何对其进行修改。几乎就像零日漏洞攻击一样。细节在于魔鬼,说起来容易做起来难。
…And I’在笔测试/道德黑客课程中,我仍然努力在Kali Linux VM和Windows VM上编写基本的后门可执行文件。哈哈。
话虽如此,您对OSCP课程和认证有何看法?
我问是因为我爆炸,(很有趣。’上瘾),使用和学习这些工具和技巧…并正在从事网络测试公司的笔测试员职业(白帽黑客,并参与了红队与蓝队的练习)。
谢谢,
-克里斯
ps。你’顺便说一句,我创造了一个很棒的课程,’m在您的第一个中)。
我学到了很多东西,尽管我确实想了解更多有关网络安全团队用来检测和阻止黑客的工具。我了解并已学会使用Kali Linux中的某些攻击性工具,
(MITF ARP欺骗,Zenmap,Metasploit,Veil,Wireshark,Maltego,Aircrack-ng等。),
但是防御工具呢?我可以练习在虚拟环境中使用它们吗?
谢谢你。 OSCP是最受人尊敬的黑客证书之一,很难获得。
是的 you can use defensive tools to practice in virtual labs. This is blue team or opsec.
本课程有opsec培训; //courses.iphone-forensics.net/p/ethical-hacking-with-kali-linux-snort-and-wireshark/?coupon_code=CYBERXREGULAR
以我的经验,保护自己免受此类攻击意味着您只需要从受信任的过程中安装和下载非常受信任的软件,使用上帝防火墙并阻止所有传入信号,’重新使用Windows检查并验证任务管理器上所有正在运行的进程,并在终端机(Unix)上使用top命令。如果不这样做,请卸载Java’t really need it.
嗨,内森,
这是非常有用的。谢谢你的分享。我也在上你的课程,并从中学到了很多东西。’绝对很棒。太感谢了。
谢谢你。
嗨,内森,
作为网络安全专家,这确实是一本有趣的文章,对于了解行业动态一直很高兴。我们很喜欢阅读您的博客。您的内容整理得很好,我们期待您的下一个。
为了使任何企业都能够抵御任何潜在的供应链攻击,它应该进行业务影响分析,不仅必须准备并评估和监控新的和现有的供应商,而且最重要的是要主动应对对供应链的网络威胁。