top of page
  • 作家相片Jerry Ho / SOC資安工程師

我們與供應鏈攻擊的距離:第三方軟體


我們與攻擊鏈攻擊的距離

在前篇文章「小心火燒連環船,供應鏈安全成為現代資安大趨勢」中,我們聊到了供應鏈安全的議題。由於供應鏈攻擊在近幾年出現的頻率逐年攀升並且造成的影響甚鉅,例如在 2020 及 2021 的 SolarWinds 及 Apache Log4j 這 2 起因漏洞問題所引發的重大資安事件,因此我們再透過幾個案例分享,幫助大家體認到供應鏈攻擊離我們的距離原來這麼近。


很難想像,供應鏈攻擊類型的資安事件不只發生在與企業有關的資訊 IT 產業合作之間,實際上都曾經在你我身邊上演過此類攻擊,那就是透過我們日常電腦上常常下載安裝使用的第三方軟體。以下就讓我們帶您深入淺出,分享幾個距離我們一般使用者非常近的供應鏈攻擊真實案例,了解駭客如何透過第三方軟體實現供應鏈攻擊,以及身為使用者的我們面對供應鏈攻擊可以做些什麼來自我保護。


第三方軟體之供應鏈攻擊案例分享:

第三方軟體 ( Third-party software ),通常指的是非系統或裝置廠商所開發的軟體,系統或裝置廠商為了讓其裝置或系統有更大的可能以及擴充性,基於裝置及其搭載的開放性作業系統,允許其他第三方軟體廠商開發新的軟體,進一步提高他們的知名度、市占率;第三方軟體商為了吸引更多用戶,以捐贈、部份功能付費,甚至是免費的方式,以提高其知名度、市佔率以及可能連帶影響的周邊效益。在這樣的循環下,使用者抱持著使用方便、免費的心態,使得第三方軟體跟我們生活密不可分,而駭客也正是看準了這一項特點,瞄準能應用在大量目標、分散攻擊成本同時創造最大攻擊效益的第三方軟體來進行攻擊,下面就讓我們來看看,案例中的第三方軟體您是否耳熟能詳,或者,您剛好也有在使用中呢?


案例1、 KMplayer:透過更新機制,沒有更新,反而更”壞”

KMPlayer 為一個源自韓國,內建多國語系且支援各種常見影音檔的多媒體播放軟體,主要功能使用上也不需額外付費,因此深獲大眾喜愛,使用及普遍度很高。然而 2013 年發現,KMPlayer 在進行軟體更新時會連線至韓國伺服器下載新版程式,執行後會對用戶電腦進行側錄鍵盤、連線中繼站等惡意行為。觀察當時韓國發生多起重大資安事故案件,很多都是政府機關或民間單位被組織型駭客入侵,駭客再進一步透過軟體更新方式滲透一般用戶電腦主機,藉此發起影響層面更大的如:DDoS 攻擊。從這樣的攻擊手法我們可以知道,當受信任的軟體更新機制被入侵,就跟敞開大門讓駭客任意進出一樣,如果沒有足以應對的偵測及保護,一般人是很難察覺的。


案例2、 oCam:你的軟體,不是你的軟體

oCam 是 Ohsoft 公司旗下一款好用且免費的螢幕錄影軟體,然而在 2018 年,使用者發現自己的電腦在閒置時 CPU 使用率就會開始飆高,且是由一支程序:BRTSvc.exe 造成,進一步調查才知道,這支程序全名為:BlockChain Research Tools,美其名為區塊鏈研究工具,其實是挖礦程式!而且是在 oCam 安裝設定過程時預設勾選一併安裝的,這對於沒有經驗且警覺性不高的使用者很輕易就會安裝協助挖礦而渾然不知。挖礦程式主要是使用電腦的計算能力來解決數學問題,以獲得加密貨幣的獎勵,雖然第三方軟體供應商於安裝過程的軟體授權合約中載明:我們讓使用者免費使用,但請安裝這支程式贊助,我們如果不同意請再自行移除 … 且沒有竊取資訊或破壞的行為,但挖礦程式使用上消耗大量的電力和計算資源,除了加速電腦硬體的損耗外,這樣刻意隱蔽、在使用者沒有被確實告知情況下,利用使用者電腦獲利的行為也是非常沒有道德的。藉由這樣的事件我們可以發現,在安裝使用第三方軟體時我們應留意有沒有被“加料”,盡量選擇知名度高的、比較多人用的,或者 ... 知名大企業的軟體總不會有問題吧!但您以為這樣就真的安全了嗎?我們繼續看下去~


案例3、CCleaner:官方網站下載版本的就安全嗎?

CCleaner 為英國軟體公司 Piriform 在 2003 年所開發的免費系統清理軟體,於 2017 年 被資安業者 Avast 收購,沒想到在同一年沒過多久就被駭客攻擊,利用竊取的使用者憑證與臨時性的 VPN 檔案駭進該公司網路,並在官方網站釋出的 CCleaner 安裝檔案中植入惡意程式碼,使當時下載有問題版本的使用者都受到影響,估計至少波及 200 萬台電腦。更讓人意想不到的是,駭客有意圖地在已受影響的電腦中,過濾出位在科技大廠內部的電腦裝置,進一步透過後門機制,散播另一種電腦病毒、侵入更深層系統以竊取敏感、有價值資料。當您預設立場認為,從第三方軟體官方網站下載安裝的軟體是安全不需要擔心的,很容易就會忽略這類型可能潛在的攻擊面,給駭客一個輕易避開傳統邊界層層防護的機會,造成嚴重的影響及損失。


案例4、WinRAR:再怎麼無害的軟體,都可能出問題

WinRAR是一套極為普遍的解壓縮軟體,不論在個人電腦或是Server系統上多會安裝使用,不過在近期發現WinRAR零時差漏洞(CVE-2023-38831)被濫用,可讓用戶點擊無害檔案時遭安裝惡意程式,至今有5億多用戶受到影響!這個漏洞發生在ZIP檔案的處理過程,駭客利用製作惡意的.ZIP或.RAR壓縮檔,不過當中所壓縮的檔案內容是無害正常的,這個做法跟傳統認知是相反的,所以在檢查時會被認為是正常無害,實際上在點擊解壓縮的時候就會被安裝惡意程式。值得注意的,另一套開源免費的解壓縮軟體7-zip Windows版也曾在2022年出現一項能夠讓攻擊者取的管理員權限的漏洞,達到提權並執行指令的惡意行為。


第三方軟體安全使用指引:

看完這麼多案例,大家可能會覺得,第三方軟體這麼危險,那就不要使用啦,但現實是第三方軟體早已與我們日常生活緊密結合,即使是小編自己也無法避免的會使用不少第三方軟體,既然一定會用到,要怎麼樣才能用的安全呢?不論您是公司的管理者,或是一般使用者,WIZON 資安團隊提供大家以下幾個建議:

  1. 注意軟體來源,避免使用不明來源的軟體。

  2. 對軟體之使用做控管,建立軟體清冊,對使用人員、使用時間、使用範圍及軟體版本 … 等做定期盤查並密切監控。

  3. 定期檢視已下載使用第三方軟體之系統安全性公告、通知,關注有無相關漏洞,在發布後即刻修補。

  4. 關閉自動更新,或最好導入修補管理系統,以確保軟體版本的安全可靠性。

  5. 使用完,確認程序結束,非必要不要以服務型態常駐於端點中。

  6. 定期檢視軟體使用必要性,若不再使用應儘速完整解除安裝。

  7. 佈署有效的端點安全防護機制,例如端點安全保護、備份復原功能,以隨時監控第三方軟體的安全使用情況。


隨著資安越來越受重視,大家對資安的意識、保護都有所提升,駭客也因此改變攻擊思維,不做正面對決,用最意想不到的方式,從您視為理所當然沒有問題的地方下手,讓您措手不及,透過第三方軟體進行的供應鏈攻擊就是最好的例子。當再怎麼樣小心的對第三方軟體使用、控管及對來源做檢查,都還是可能百密必有一疏時,在端點佈署有效的偵測保護機制,時刻監控,當發現到可疑行為時立即對其進行分析,進而採取如阻擋的對應處理動作,在事件發生前先進行處置,絕對會是更好的選擇。

Comments


bottom of page