2017-《中国政企软件供应链攻击现状分析报告》

中国政企软件供应链攻击现状分析报告 360 天擎团队 360 威胁情报中心 360 安全监测与响应中心 2017 年 9 月报告摘要  软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、不自律、漏洞等问题，在合法软件下载安装、更新维护、信息推送的过程中，利用用户与软件供应商之间的信任关系，成功绕开传统安全产品的围追堵截。  合法软件包括安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制软件、图形图像等多种类型。这些软件中，既包含付费软件，也包含免费软件。政企机构中的免费软件，大多是员工通过互联网渠道自行下载安装的。  政企机构中，办公软件的安装量最高，占比为 30.1%；其次是休闲娱乐软件，占比为 14.6%；行业软件（特定行业使用的专用软件）排名第三，占 14.4%。  政企机构中，安全软件的覆盖率最高，高达 95.2%；其次是休闲娱乐软件，占比为 45.2%；搜索下载软件排名第三，占比为 37.7%。  在政企机构使用量最多的 400 款软件中，免费软件的安装量高达 60.2%，付费软件的安装量则为 39.8%；免费软件的覆盖率为 79.5%，付费软件的覆盖率则高达 95.2%。  根据不同行业中各类软件的实际使用情况，建议政府单位特别关注办公软件、定制软件的安全问题，建议金融单位特别关注行业软件、搜索下载软件的安全问题，建议能源单位特别关注办公软件、行业软件的安全问题，建议大型企业特别关注休闲娱乐软件的安全问题，建议互联网公司关注所有软件类型的安全问题。  要想规避软件供应链攻击引发的风险，建议政企机构掌控全网终端的软件分布情况，选择安全软件下载渠道，把控软件升级通道，加强分析和感知互联网软件的网络通信行为的能力，并提升对软件供应链攻击事件的应急响应能力。关键词：软件供应链攻击软件安装量软件覆盖率目录报告摘要 .................................................................................................................................................. 1 研究背景 .................................................................................................................................................. 1 第一章软件供应链攻击事件分析 ..................................................................................................... 2 一、攻击定义 ................................................................................................................................. 2 二、典型事件 ................................................................................................................................. 2 三、共性分析 ............................................................................................................................... 10 第二章政企机构软件应用现状分析 ............................................................................................... 14 一、软件应用情况整体分析 ....................................................................................................... 14 二、重点行业软件应用情况分析................................................................................................ 16 第三章软件供应链攻击防范建议 ................................................................................................... 18 一、防范思路 ............................................................................................................................... 18 二、 360 软件供应链攻击解决方案............................................................................................. 19 三、写在最后 ............................................................................................................................... 22 附录 1 相关定义 .................................................................................................................................. 23 一、关于软件供应链攻击 ........................................................................................................... 23 二、关于软件分类 ....................................................................................................................... 23 三、关于软件付费形式 ............................................................................................................... 23 附录 2 研究团队 .................................................................................................................................. 24 一、 360 天擎团队 ........................................................................................................................ 24 二、 360 安全监测与响应中心 .................................................................................................... 24 三、 360 威胁情报中心 ................................................................................................................ 24 2 研究背景 Fireball、暗云 III、Petya、异鬼 II、Kuzzle、XShellGhost……最近三个月以来，通过合法软件传播的恶意软件越来越多，正在全球范围内迅速蔓延开来，微软将其称之为“Software Supply Chain Attack” ，即“软件供应链攻击” 。这类攻击最大的特点就是获得了“合法软件”的保护，因此很容易绕开传统安全产品的围追堵截，进行大范围的传播和攻击。它们更青睐哪些类型的“合法软件”？又是如何借用“合法软件”身份的？这些“合法软件”在政企机构中的应用情况如何？哪些行业是高危群体？防范这类攻击的要点是什么？政企机构该如何规避风险？ …… 《中国政企软件供应链攻击现状分析报告》将为您一一解答。 1 第一章软件供应链攻击事件分析严格说，软件供应链攻击并不是一种全新的攻击类型，过去几年这类攻击事件时有发生，只是 2017 年开始呈现爆发态势。为此，我们选取了近年来 12 个比较有代表性的事件进行分析，希望能够从中找出一些共性内容，作为攻击防范的参考。一、攻击定义软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。二、典型事件事件 1、播放器挂马：藏在正规客户端背后事件描述： 2015 年 5 月底开始，360 监测到一款名为“中国插件联盟”的下载者木马感染量暴涨，其下载通道是多款用户量上千万甚至过亿的播放器客户端。通过对木马下载重灾区搜狐影音的分析发现，中招电脑上的搜狐影音通过官方渠道安装，本身没有捆绑木马，在此次中招前大约一个月时间内，电脑也没有执行过可疑程序。经过重点监测和测试验证，我们发现在搜狐影音客户端展示的一个私服广告页面，带有 IE 远程代码执行漏洞（CVE-2014-6332）的挂马代码，可以利用搜狐影音去执行木马代码。影响范围： 6