警惕:最信任软件成帮凶 新型攻击大举来犯

2017-09-06 14:39:22 360 首席安全官

       Petya、异鬼II、Kuzzle、XShellGhost……最近三个月爆发了多起重大威胁事件,波及全球范围内的近千万台电脑。在对这些事件进行分析过程中,360天擎团队发现它们看似毫无关联,但其实有着惊人的共同点——都“披着合法软件外衣”,这也是它们能够避开传统安全产品查杀、快速进驻用户电脑并成功发起攻击的真正原因。

 


Petya:混入升级通道的勒索病毒

6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击。攻击者通过感染乌克兰流行会计软件(M.E.Doc)更新服务器,向用户推送包含病毒的软件更新。用户更新软件就会感染病毒,会导致电脑无法启动,需要支付价值相当于300美元的比特币。

异鬼II:藏在刷机软件中的流氓

“异鬼Ⅱ”是一款Bootkit流氓推广软件,可篡改浏览器主页、劫持导航网站,并在后台刷取流量,上百万台用户机器受到感染。它通过国内高速下载器推广,隐藏在多款正规刷机软件中,例如知名软件甜椒刷机,且带有官方数字签名。

Kuzzle:假冒安全软件的病毒

恶性病毒“Kuzzle”会在感染电脑后会劫持浏览器首页牟利,同时接受病毒作者的远程指令进行其他破坏活动。用户即使重装系统也难以清除该病毒,会长期处于被犯罪团伙的控制之下。Kuzzle主要通过下载站的高速下载器推广传播,会默认下载携带病毒的“云记事本”程序,甚至会盗用知名安全厂商的产品数字签名,例如知名安全厂商北信源公司的数字签名。当安全软件检测到该数字签名时,会将其误认为是北信源产品,自动放过病毒,不进行查杀。

XShellGhost:嵌入正规软件的后门

8月,NetSarang发布更新,解决了7月18日发布的XShell版本的安全问题。360威胁情报中心分析了XShell Build 1322版本(此版本在国内被大量分发使用),发现并确认其中的nssock2.dll组件存在后门代码,用户如果使用了特洛伊化的XShell工具版本,可能导致本机相关的敏感信息被泄露到攻击者所控制的机器。

……

这种通过合法软件传播的攻击方式并不是今年才开始出现的,只是2017年出现的频率越来越高,已经呈现出爆发态势,并在全球范围内迅速蔓延开来,微软将其称之为“Software Supply Chain Attack”,即“软件供应链攻击”。

那么,“软件供应链攻击”更青睐哪些类型的“合法软件”?这些“合法软件”在政企客户中的应用情况如何?哪些行业属于高危群体?企业该如何应对这种新型攻击?在2017中国互联网安全大会(ISC2017)“政企安全创新论坛”上,360天擎团队将为您一一解答。


想下载《中国软件供应链攻击研究》报告? 请移步 【阅读原文】,填写表格,我们将统一发送报告电子版。