360-2017年度安全報告網絡安全——供應鏈-2018.1-22頁（24頁）.pdf

《360-2017年度安全報告網絡安全——供應鏈-2018.1-22頁（24頁）.pdf》由會員分享，可在線閱讀，更多相關《360-2017年度安全報告網絡安全——供應鏈-2018.1-22頁（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、360 Computer Emergency Readiness Team, January 2018 文中部分信息直接參考外部文章（見參考），如有侵權或異議請聯系 Supply Chain Security XshellGhost 事件 Ccleaner 惡意代碼攻擊事件 OSX/Proton 后門（Elmedia Player 軟件）攻擊事件 Chrome 插件 User Agent Switcher 供應鏈攻擊事件 全國多省爆發大規模軟件升級劫持攻擊 Wordpress Keylogger 事件 2017 年度安全報告供應鏈攻擊 2017 年度安全報告供應鏈攻擊 360 Computer

2、 Emergency Readiness Team, January 20182 傳統的供應鏈概念是指商品到達消費者手中之前各相關者的連接或業務的銜接，從采購原材料開始，制 成中間產品以及最終產品，最后由銷售網絡把產品送到消費者手中的一個整體的供應鏈結構。 近年來我們觀察到了大量基于軟硬件供應鏈的攻擊案例，比如針對 Xshell 源代碼污染的攻擊機理是攻 擊者直接修改了產品源代碼并植入特洛伊木馬；針對蘋果公司的集成開發工具 Xcode 的攻擊，則是通 過影響編譯環境間接攻擊了產出的軟件產品。這些攻擊案例最終影響了數十萬甚至上億的軟件產品用戶， 并可以造成比如盜取用戶隱私、 植入木馬、 盜取數字

3、資產等危害。 接下來我們將從劃分出來各環節的角度， 舉例分析這些針對供應鏈攻擊的重大安全事件。 供應鏈攻擊年終報告 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20183 發布廠商發布時間相關分析報告報告詳細鏈接 Qihoo3607.12全國多省軟件升級劫持攻擊事件數據分析 Kaspersky9.7XShellGhost 事件技術回顧報告 B%B6%E6%8A%80%E6%9C%AF%E5%9B%9E%E9%A1%BE%E 6%8A%A5%E5%91%8A.pdf Piriform9.18CCleaner 惡意

4、代碼分析預警 8b872a73b18d220 v2ex9.20 chrome（browser）mac 播放器的供應 鏈攻擊（macos） B%B6User-Agent%20Switch- er%E6%81%B6%E6%84%8F%E4%B B%A3%E7%A0%81%E5%88%86%E6%9E%90%E6%8A%A5%E 5%91%8A.pdf eltima10.21 OSX/Proton 后門通過供應鏈攻擊（El- media Player 軟件）傳播 037fc7 Automattic12.8Wordpress Keylogger 事件分析 15c5e46620e 下面是小編收集到的今年

5、部分供應鏈攻擊事件 ( 排名不分先后 ): 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20184 開發工具污染 XshellGhost 事件 2017 年 8 月，非常流行的遠程終端管理軟件 Xshell 被發現植入 了后門代碼，導致大量使用此款工具的用戶泄露主機相關的敏感信 息。同時，近期大量的使用軟件捆綁進行傳播的黑產活動也被揭露 出來，從影響面來看這些惡意活動的力度頗為驚人，這類來源于供 應鏈并最終造成巨大危害的安全事件其實并不少見，而我們所感知 的可能只是冰山一角而已。 針對開發工具進行攻擊，影響最為

6、廣泛的莫過于 XcodeGhost （Xcode 非官方版本惡意代碼污染事件），值得一提的是早 在 30 多年前的 1984 年，UNIX 創造者之一 Ken Thompson 在其 ACM 圖靈獎的獲獎演講中發表了叫做 Reflections on Trusting Trust（反思對信任的信任）的演講。他分三步描述了如 何構造一個非常難以被發現的編譯器后門，后來被稱為 the Ken Thompson Hack（KTH），這或許是已知最早的針對軟件開發 工具的攻擊設想。而最近的 XcodeGhost 最多只能算是 KTH 的 一個簡化版本，沒有試圖隱藏自己，修改的不是編譯器本身，而是 Xc

7、ode 附帶的框架庫。 隨后，經安全研究人員分析證實 NetSarang 公司在 7 月 18 日發 布的 nssock2.dll 模塊中被植入了惡意代碼，直接影響到使用該系 列軟件的用戶。 技術分析 受害者在安裝，啟動了帶有后門的客戶端后，nssock2.dll 模塊中 的攻擊代碼會以 Shellcode 形式在后臺被調用解密執行。 該 Shellcode 分為多加密塊，基于插件模型架構，各模塊之間負 責不同功能且協調工作、相互調用，實際分析后發現中間存在大量 對抗設計，隱秘性較強，該后門還包含了如下幾個特點： 無自啟動項，無獨立落地文件 存在花指令和部分加密函數設計 多種通信協議的遠程控制

8、 主動發送受害主機基本信息 通過特定的 DGA( 域名生成算法 ) 產生的 DNS 域名傳送 至遠程命令控制服務器 C&C 服務器可動態下發任意代碼至用戶機器執行 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20185 整體流程如下圖所示：后門的整體流程大致分為以下 9 個步驟： 1.Xshell 啟動后會加載動態鏈接庫 nssock2.dll。 2. 在 DllMain 執行前由全局對象構造啟動引子代碼。 3. 引子代碼主要功能就是解密 shellcode1 并跳轉到入口處執 行。 4.shellcode1(

9、loader) 加載 shellcode2。 5.shellcode2 中將搜集用戶信息構造 DNS TXT 包傳送至 根據年份和月份生成的 DGA 域名，同時接收解密 shellcode3 的 key 并寫入注冊表，一旦注冊表中查詢到對應的值隨即解密 shellcode3 并執行。 6.Shellcode3(loader) 主要負責加載 Root 模塊并跳轉到入 口處執行。 7.Root 被加載后接著分別加載 Plugin，Config，Install， Online 和 DNS 模塊。 8.Install 模塊會創建 svchost.exe 并把 Root 模塊注入，實 現持久化運行。 9

10、.Online 模塊會根據其配置初始化網絡相關資源，向指定服 務地址發送信息，并等待云端動態下發代碼進行下一步攻擊。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20186 Shellcode1(Loader) 該后門是基于插件模式開發的，Root 模塊提供了插件的基本框架， 各插件之間會相互調用，而在各個插件加載時都會多次用到同一個 loader，loader 中的代碼中加入了化指令進行干擾，具體實現細 節為如下 8 個步驟 : Shellcode2 主要作用就是將搜集的數據傳出，并接收服務端傳來的 key

11、解密 shellcode3，執行后門的核心部分，Shellcode2 實現細節如下： 1.Shellcode2 首先創建工作線程。 2. 工作線程首先獲取 VolumeSerialNumber 值并且異或 0 xD592FC92 這個值用來創建注冊表項。 3. 創 建 注 冊 表 項， 位 置 為 HKEY_CURRENT_USER SOFTWARE-0-9( 步驟 2 生成的數值 )。 4. 通過 RegQueryValueExA 查詢步驟 3 創建注冊表中 Data 鍵的值。 5. 如 果 注 冊 表 Data 已 經 存 放 key 會 直 接 用 key 解 密 shellcode3

12、并執行。 6. 不存在 key 則繼續執行下面的循環，當不滿足時間條件時 循環每隔 10 秒獲取一次時間， 滿足時間條件時進入主流程執行步 驟 7。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20187 此外，通過對 12 個域名分析 NS 解析情況后發現， 7 月 開始被注冊解析到 的 NS Server 上，所以猜測這 個惡意代碼事件至少是從 7 月開始的。 7. 主流程首先根據當前時間生成 DGA 域名 ，當前 8 月時間為 部分年份 - 月份生成的域名對應關系如下： 2017 年 01 月 2017

13、年 02 月 2017 年 03 月 2017 年 04 月 2017 年 05 月 2017 年 06 月 2017 年 07 月 2017 年 08 月 2017 年 09 月 2017 年 10 月 2017 年 11 月 2017 年 12 月 8. 接 著 根 據 獲 取 的 當 前 網 絡、hostName 、 DomainName 、UserNmae 用特定算法生成字符串構造 DNS_TXT 數據包并向 8.8.8.8 | 8.8.4.4 | 4.2.2.1 | 4.2.2.2 | 當 前時間 DGA 域名 發送，然后等待服務器返回數據（解密 Shellcode3 的 key）。

14、 Key10 xC9BED351 key20 xA85DA1C9 9. 當接收到服務器的數據包后設置注冊表 Data 數據， 然 后 解 密 Shellcode3，Shellcode3 依 然 是 一 個 loader, 該 loader 加載 Root 模塊，其 loader 功能同上述的細節相同。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 20188 (1)、Module_Root Root 模塊是后門的關鍵部分，為其它模塊提供了基本框架和 互相調用的 API，其中會加載五個模塊分別為：Plugin、On

15、line、 Config、Install、DNS。 將自身函數表地址共享給其他模塊使用，主要這些 API 主要 涉及到一些模塊加載、加解密等功能。 (2)、Module_Install Install 負責把 RootModule 的 Code 注入到傀儡進程中和 Online 模塊的初始化。 (3)、Module_Config Config 模塊主要負責配置信息的存儲和讀取功能，當模塊初 始化函數傳入的參數為100時， 會保存一些默認配置信息到磁盤中， 同時 Config 模塊也提供了將配置信息發送到 CC 服務器的接口。 (4)、Module_Plugin Plugin模塊為后門提供插件管

16、理功能， 包括插件的加載、 卸載、 添加、刪除操作，管理功能完成后會通過調用 Online 的 0 x24 項 函數完成回調，向服務器返回操作結果。模塊的輔助功能為其它插 件提供注冊表操作。 (5)、Module_DNS DNS 模塊的主要功能是使用 DNS 協議處理 CC 通信過程。 DNS 數據包有三種類型，分別代表上線，數據和結束。 (6)、Module_Online Online 模塊是本次攻擊的網絡通信管理模塊。該模塊會讀取 配置文件，收集系統信息，并且能夠調用 DNS，HTTP，SSL 等 模塊通信，不過在代碼中暫時只有前面所述的 DNS 模塊。 2017 年度安全報告供應鏈攻擊

17、360 Computer Emergency Readiness Team, January 20189 Ccleaner 惡意代碼攻擊事件 技術分析 基本框架圖： DNS 請求態勢 注：該圖來自 360 網絡安全研究院 2017 年 9 月 18 日，Piriform 官 方發布安全公告，公告稱旗下的 CCleaner version 5.33.6162 和 CCleaner Cloud version 1.07.3191 中的 32 位應用程序被 篡改并植入了惡意代碼。 這是繼 Xshell 被植入后門代碼事 件后，又一起嚴重的軟件供應鏈攻 擊活動，此次事件極有可能是攻 擊者入侵開發人員機

18、器后污染開 發環境中的 CRT 靜態庫函數造成 的，導致的后果為在該開發環境中 開發的程序都有可能被自動植入 惡意代碼。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201810 PayLoad 流程圖 : 惡意代碼加載部分 在編譯器增加的初始化代碼中的 _scrt_get_dyn_tls_init_ callback 函數中增加了解密 shellcode 的調用。 解密出來的 shellcode 是一個 loader，會加載一個被抹去了 DOS 頭的 dll 創建線程執行惡意行為。 2017 年度安全報告供應

19、鏈攻擊 360 Computer Emergency Readiness Team, January 201811 信息上傳及 Payload 下載部分 獲取 C&C 服務器地址 216.126.225.148。 偽造 host： 發送編碼后的信息。 如果沒有接收到響應，還會嘗試連接 DGA 域名，并將 IP 地址存儲在 SOFTWAREPiriformAgomoNID 中。DGA 算 法經過還原后如下： DGA 域名列表如下： 日期域名 2017 年 01 月 2017 年 02 月 2017 年 03 月 2017 年 04 月 2017 年 05 月 2017 年 06 月 2017 年

20、 07 月 2017 年 08 月 2017 年 09 月 2017 年 10 月 2017 年 11 月 2017 年 12 月 2018 年 01 月 2018 年 02 月 2018 年 03 月 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201812 捆綁下載 OSX/Proton 后門（Elmedia Player 軟件）攻 擊事件 Elmedia Player 是一款專門為 Mac OS X 打造的免費媒體播放 器，通過它可播放和管理 Mac 上的 Flash 影片、電影視頻等等。 2017 年

21、10 月 19 日 ESET 注意到 Elmedia Player 軟件的制造 商 Eltima 正在其官方網站上發布一個被植入 OSX/Proton 惡意 軟件的應用程序。ESET 聯系 Eltima 之后 2017 年 10 月 20 日 Eltima 官方發布安全公告，公告稱旗下 macOS 平臺下的 Folx 和 Elmedia Player 兩款軟件的 DMG 因為官網被入侵而被篡改并 被植入了惡意代碼，具體影響到了 2017 年 10 月 19 日在官網下載 該兩款軟件的用戶。該軟件用戶數大約在 100 萬左右。這是今年 既 XshellGhost 和 CCleaner 之后又一起

22、嚴重的針對供應鏈攻擊 的事件。 技術分析 C&C 域名 DNS 請求態勢 注 : 時間因為標準問題，允許存在 1 天的誤差。該圖來自于 360 網絡安全研究院 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201813 據悉，植入 Eltima 軟件的后門代碼是已知的 OSX/Proton 后門。 攻擊者通過解壓 Eltima 軟件包，并通過有效的 macOS 開發者簽 名來重新打包來保護自身，目前蘋果公司已經吊銷了該簽名。 信息竊取方面，OSX/Proton 是通過持久化控制來竊取一系列用 戶信息的后門，主要包

23、括如下： 操作系統信息： 主機名，硬件序列號 ，用戶名，csrutil status，網關信息，時間 / 時區； 瀏覽器信息：歷史記錄，cookies，標簽，登錄信息等（包 括 Firefox,Chrome,Safari,Opera 平臺） 數字錢包 Electrum: /.electrum/wallets Bitcoin Core: /Library/Application Support/Bitcoin/ wallet.dat Armory: /Library/Application Support/Armory SSH 信息 macOS keychain 信息 Tunnelblick V

24、PN 配置 (/Library/Application Support/Tunnelblick/Configurations) GnuPG 數據 (/.gnupg) 1Password 數據 (/Library/Application Support/1Password 4 and /Library/Application Support/1Password 3.9) Indicators of Compromise (IOCs) URL 列表 hxxps:/ dmg hxxp:/www.elmedia-video- elmediaplayer.dmg hxxps:/ dmg 文件哈希 e9d

25、cdae1406ab1132dc9d507fd63503e5c4d41d9 8cfa551d15320f0157ece3bdf30b1c62765a93a5 0400b35d703d872adc64aa7ef914a260903998ca IP 地址 eltima.in / 5.196.42.123 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201814 Chrome 插 件 UserAgent Switcher 供 應 鏈 攻擊事件 在信息化高速發展的今天 , 在 BS 模式的推動下 ,web 已經成為全

26、球第一大客戶端 , 早已是用戶生活中不可分割的一部分 , 在此處事 件中 User-Agent Switcher 為廣大的攻擊者提供了一種新型的 供應鏈攻擊模式從大分發機構出發 , 對交付這一過程進行攻擊 , 作者通過混淆自己的惡意代碼進入圖片接著在插件運行的時候再 從圖片中解密出惡意代碼進行運行 , 從而繞過了 Chrome 商店的 嚴格審查機制 , 成功的堂而皇之的登錄到了 Chrome 應用商店 , 然 而對用戶而言 , 官方的應用商店無疑是代表著官方的認證 , 以及質 量和安全 , 時至今日已經 Chrome 商店的統計數據顯示 : 累計有 458,450 的用戶已經安裝了該插件 ,

27、可以看到 Chrome 商店在這 之中扮演著重要的角色 , 交付這一環節上 , 就讓 chrome 成功收錄 了自己的應用 , 然后利用 chrome 應用商店這個更為廣大的品臺吸 引到更多的用戶進行下載使用 , 從而造成更大的危害。 技術細節 運作流程 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201815 DNS 請求態勢 uaswitcher.org canvas 圖片 js 代碼隱藏 那么現在直接從 background.js 看起 在 background.js 的 70 行 處有一行經過 js 壓

28、縮的代碼 , 進行 beautify 后。這里大部分代碼 的功能都是對 promo.jpg 這個圖片文件的讀取處理 值的內容都小于 10, 所以這就是為什么要放在 A 分量上 ,A 分量的 值 255 是完全不透明 , 而這部分值附加在 245 上 . 所以對圖片的 觀感完全無影響 the- & api.data-monitor.info 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201816 用戶信息上傳 下載惡意 payload https:/the- 為 payload 地址 2017 年度安全報告供應

29、鏈攻擊 360 Computer Emergency Readiness Team, January 201817 升級劫持 全國多省爆發大規模軟件升級劫持攻擊 軟件產品在整個生命周期中幾乎都要對自身進行更新，常見的有功 能更新升級、修復軟件產品 BUG 等等。攻擊者可以通過劫持軟件 更新的“渠道”，比如通過預先植入用戶機器的病毒木馬重定向更 新下載鏈接、運營商劫持重定向更新下載鏈接、軟件產品更新模塊 在下載過程中被劫持替換（未校驗）等等方式對軟件升級過程進行 劫持進而植入惡意代碼。 360 安全衛士在 2017 年 7 月 5 日披露，有多款軟件用戶密集反 映 360“誤報了軟件的升級程序”

30、，但事實上，這些軟件的升級 程序已經被不法分子惡意替換。 這次事件其實是基于域名 的一組大規 模軟件升級劫持事件。用戶嘗試升級若干知名軟件客戶端時，運營 商將 HTTP 請求重定向至惡意軟件并執行。惡意軟件會在表面上 正常安裝知名軟件客戶端的同時，另外在后臺偷偷下載安裝推廣其 他軟件。山東、山西、福建、浙江等多省的軟件升級劫持達到空前 規模，360 安全衛士對此類攻擊的單日攔截量突破 40 萬次。 技術分析 近期有多款軟件用戶密集反映 360“誤報了軟件的升級程序”， 但事實上，這些軟件的升級程序已經被不法分子惡意替換。 下圖就是一例愛奇藝客戶端升級程序被劫持的下載過程：可以看到 服務器返回了

31、 302 跳轉，把下載地址指向了一個并不屬于愛奇藝 的 CDN 服務器地址，導致下載回來的安裝包變為被不法分子篡改 過的推廣程序。 注：遭 302 跳轉劫持的下載鏈接 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, January 201818 此次被劫持升級程序的流行軟件遠不止愛奇藝一家，下圖就是一些 由于網絡劫持而出現的“假軟件”。 被網絡劫持替換的“假軟件” 以下， 我們以偽造的百度網盤安裝程序 “BaiduNetdisk_5.5.4.exe” 為例分析一下惡意程序的行為。與正常的安裝程序相比，該程序不 具備合法的數字簽名，

32、并且體積較大。 被篡改的偽裝安裝程序與正常的安裝程序 通過對比可以發現， 兩者在內容上還是有較大差別。 兩者只有8.7% 的函數內容相同。 偽裝安裝程序和正常安裝程序函數對比 根據 360 安全衛士的持續監控和攔截，該劫持行為從今年 3 月底 就已經開始出現，360 一直在持續跟進查殺，近日來則突然出現 了爆發趨勢，為此 360 安全衛士官方微博公開發布了警報。 7 月 4 日，也就是在 360 發布軟件升級劫持攻擊警報后，此類攻 擊行為出現了一定程度下降。 注：網絡劫持量走勢 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team, Ja

33、nuary 201819 根據已有數據統計顯示，受到此次劫持事件影響的用戶已經超過 百萬。而這些被劫持的用戶絕大多數來自于山東地區。另外，山西、 福建、浙江、新疆、河南等地也有一定規模爆發。 注：被劫持用戶地域分布 在此提醒各大軟件廠商，軟件更新盡量采用 https 加密傳輸的方式 進行升級，以防被網絡劫持惡意利用。對于普通互聯網用戶，360 安全衛士“主動防御”能夠攔截并查殺利用軟件升級投放到用戶電 腦里的惡意程序，建議用戶更新軟件時開啟安全防護。 360 安全衛士攔截軟件升級劫持“投毒” 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness T

34、eam, January 201820 Wordpress Keylogger 事件 技術分析 我們注意到 WordPress 被注入了一個混淆的 js 腳本，從主題的 function.php 文件進行植入 , 其中 reconnecting-websocket.js 用作 websocket 通信，cors.js 中包含后門。Cors.js 更改前端頁 面，釋放 javascript 腳本進行輸入監聽，之后將數據發送給工具 者（wss:/cloudflare.solutions:8085/）。 用 戶 WordPress 首 頁 底 部 有 兩 個 JS， 第 一 個 用 來 做 webs

35、ocket 通信。Cors.js 有混淆： 解密出： 邏 輯 很 好 理 解， 監 聽 blur 事 件 ( 輸 入 框 失 去 焦 點 ) 通 過 websocket 發送用戶 input 內容。 最后，窗口加載后執行 addyandexmetrix()。該函數是一個類似 cnzz，做訪問統計的 js。 12 月初，Catalin Cimpanu 發現 幾起針對 WordPress 站點的攻 擊，主要通過加載惡意腳本進行鍵 盤記錄，挖礦或者掛載廣告。惡意 腳 本 從“cloudflare.solutions” 域加載，該域與 Cloudflare 無關， 只要用戶從輸入字段切換，就會記 錄用

36、戶在表單字段中輸入的內容。 攻擊者攻擊了WordPress站點， 從主題的 function.php 文件植入 一個混淆的 js 腳本，這類供應鏈 攻擊的明顯區別是，他在產品交付 后，用戶使用前進行植入惡意程 序，這樣在用戶使用過程中受到攻 擊。 此 次 檢 測 到 的 WordPress Keylogger 事件，最早可以追溯 到今年 4 月，期間小型攻擊不斷， 在 12 月的時候攻擊突然加劇。使 用 WordPress 產品的用戶，有 必要進行自檢，排查是否有惡意文 件，及時清除。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Readiness Team

37、, January 201821 總結 在未來，安全人員擔心的種種安全風險會不可避免的慢慢出現，但 同時我們也在慢慢的看到，一方面基礎軟件廠商正在以積極的態度 通過聯合安全廠商等途徑來加強和解決自身的產品安全，另一方面 安全廠商之間也已經在威脅情報和安全數據等方面方面進行更為明 確化，縱深化的整合。 360CERT 在實際分析跟蹤中，除了看到 XShellGhost 中所使用 的一系列精巧攻擊技術外，更重要是看到了背后攻擊組織在實施攻 擊道路上的決心。 而就 Ccleaner 后門事件是 Xshellghost 之后公開的第二起黑客 入侵供應鏈軟件商后進行的有組織有預謀的大規模定向攻擊。供應

38、鏈攻擊是將惡意軟件分發到目標組織中的一種非常有效的方法。在 供應鏈的攻擊中，攻擊者主要憑借并濫用制造商或供應商和客戶之 間的信任關系攻擊組織和個人。2017 年上半年爆發的 NotPetya 蠕蟲就顯示出了供應鏈攻擊的強大影響力。 User-Agent Switcher 在此處供應鏈攻擊的優勢就在于其通過了 Chrome 官方商店的認證 , 而對于用戶來說 , 能夠在官方商店安裝 和下載到的插件就一定是安全可靠的 , 這一個信任鏈對于用戶來說 是十分牢固的 , 首先針對 Chrome 官方商店來說 , 對于應用的審查 應該更為嚴格 , 對于插件能夠訪問到瀏覽器的權限應該受到一些限 制 ,Use

39、r-Agent Switcher 利用圖片代碼隱藏技術對于 chrome 應用商店的審查進行逃脫 . 這些技術在安全領域更該受到重視 , 安 全性才是對于用戶保障的根本 . 對今年一年的回顧來開 , 瀏覽器 中的安全受到了各界廣泛的關注 , 尤其是對于攻擊者 ,JS Miner, Blue Loutus, wordpress Keylogger 這一例例的事件都將 web 安全這一問題再一次推向世人的面前 ,web 作為第一大客戶端 , 安 全性更是需要更多的保障 , 隨意 web 技術日新月異的發展 , 攻擊技 術的迭代更是遠遠超過了防御技術的迭代 , 所以我們對于其安全應 該作出更多 ,

40、更嚴謹的思考 , 指定出更為有效的規范以及守則 , 才能 減少這些危害的影響以及發生。 Eltima 被植入后門則表明 MAC 平臺的安全問題同樣不容忽視。 從某些方面來說，OSX 確實要比 windows 安全的多。但是對于 供應鏈攻擊來說 OSX 的安全措施同樣顯得無能為力。前兩年的 XcodeGhost 掀起的軒然大波仍然歷歷在目，2012 年年初的時 候 putty 等 SSH 管理軟件的漢化版帶有后門程序的事件在當時影 響也很大，在實際應用場景中盜版、漢化、破解等問題給信息系統 制造了大量隱患。 2017 年度安全報告供應鏈攻擊 360 Computer Emergency Read

41、iness Team, January 201822 參考 PDF.pdf er-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users ties-uncovered-between-ccleaner-hack-chinese-hackers/ ware-threat-neutralized.html https:/developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_ Objects/Promise https:/developer.mozilla.

42、org/zh-CN/docs/Web/JavaScript/Reference/Func- tions/Arrow_functions https:/developer.mozilla.org/zh-CN/docs/Web/API/Canvas_API/Tutorial/Pixel_ manipulation_with_canvas 微信公眾號 新浪微博 360CERT 全稱“360 Com- puter Emergency Readiness Team”，我們致力 于維護計算機 網絡空間安全， 是360公司基于 “協 同聯動， 主動發現， 快速響應” 的指導原則，對重大網絡安全事件 進行快速預警、應急響應的安全協 調團隊。 微信公眾號 新浪微博 關于 360CERT 起點財經，網羅天下報告 S t a r t Y o u r F i n a n c e