360-中國政企軟件供應鏈攻擊現狀分析報告安全-2017.9-27頁（29頁）.pdf

1、 中國政企軟件供應鏈攻擊 現狀分析報告 360 天擎團隊 360 威脅情報中心 360 安全監測與響應中心 2017 年 9 月 報告摘要 軟件供應鏈攻擊能夠成功的關鍵在于它充分利用了軟件供應商自身存在的監管不嚴、 不 自律、漏洞等問題，在合法軟件下載安裝、更新維護、信息推送的過程中，利用用戶與 軟件供應商之間的信任關系，成功繞開傳統安全產品的圍追堵截。 合法軟件包括安全殺毒、休閑娛樂、搜索下載、辦公軟件、行業軟件、股票網銀、定制 軟件、圖形圖像等多種類型。這些軟件中，既包含付費軟件，也包含免費軟件。政企機 構中的免費軟件，大多是員工通過互聯網渠道自行下載安裝的。 政企機構中， 辦公軟件的安裝

2、量最高， 占比為 30.1%； 其次是休閑娛樂軟件， 占比為 14.6%； 行業軟件（特定行業使用的專用軟件）排名第三，占 14.4%。 政企機構中， 安全軟件的覆蓋率最高， 高達 95.2%； 其次是休閑娛樂軟件， 占比為 45.2%； 搜索下載軟件排名第三，占比為 37.7%。 在政企機構使用量最多的 400 款軟件中，免費軟件的安裝量高達 60.2%，付費軟件的安 裝量則為 39.8%；免費軟件的覆蓋率為 79.5%，付費軟件的覆蓋率則高達 95.2%。 根據不同行業中各類軟件的實際使用情況， 建議政府單位特別關注辦公軟件、 定制軟件 的安全問題，建議金融單位特別關注行業軟件、搜索下載軟

3、件的安全問題，建議能源單 位特別關注辦公軟件、 行業軟件的安全問題， 建議大型企業特別關注休閑娛樂軟件的安 全問題，建議互聯網公司關注所有軟件類型的安全問題。 要想規避軟件供應鏈攻擊引發的風險， 建議政企機構掌控全網終端的軟件分布情況， 選 擇安全軟件下載渠道， 把控軟件升級通道， 加強分析和感知互聯網軟件的網絡通信行為 的能力，并提升對軟件供應鏈攻擊事件的應急響應能力。 關鍵詞：關鍵詞： 軟件供應鏈攻擊 軟件安裝量 軟件覆蓋率 2 目 錄 報告摘要報告摘要 . 1 研究背景研究背景 . 1 第一章第一章 軟件供應鏈攻擊事件分析軟件供應鏈攻擊事件分析 . 2 一、 攻擊定義 . 2 二、 典型

4、事件 . 2 三、 共性分析 . 10 第二章第二章 政企機構軟件應用現狀分析政企機構軟件應用現狀分析 . 14 一、 軟件應用情況整體分析 . 14 二、 重點行業軟件應用情況分析 . 16 第三章第三章 軟件供應鏈攻擊防范建議軟件供應鏈攻擊防范建議 . 18 一、 防范思路 . 18 二、 360 軟件供應鏈攻擊解決方案 . 19 三、 寫在最后 . 22 附錄附錄 1 相關定義相關定義 . 23 一、 關于軟件供應鏈攻擊 . 23 二、 關于軟件分類 . 23 三、 關于軟件付費形式 . 23 附錄附錄 2 研究團隊研究團隊 . 24 一、 360 天擎團隊 . 24 二、 360 安全

5、監測與響應中心 . 24 三、 360 威脅情報中心 . 24 1 研究背景 Fireball、暗云 III、Petya、異鬼 II、Kuzzle、XShellGhost最近三個月以來，通過合 法軟件傳播的惡意軟件越來越多， 正在全球范圍內迅速蔓延開來， 微軟將其稱之為 “Software Supply Chain Attack” ，即“軟件供應鏈攻擊” 。 這類攻擊最大的特點就是獲得了“合法軟件”的保護，因此很容易繞開傳統安全產品的 圍追堵截，進行大范圍的傳播和攻擊。 它們更青睞哪些類型的“合法軟件”？又是如何借用“合法軟件”身份的？ 這些“合法軟件”在政企機構中的應用情況如何？哪些行業是高

6、危群體？ 防范這類攻擊的要點是什么？政企機構該如何規避風險？ 中國政企軟件供應鏈攻擊現狀分析報告將為您一一解答。 2 第一章 軟件供應鏈攻擊事件分析 嚴格說， 軟件供應鏈攻擊并不是一種全新的攻擊類型， 過去幾年這類攻擊事件時有發生， 只是 2017 年開始呈現爆發態勢。 為此， 我們選取了近年來 12 個比較有代表性的事件進行分 析，希望能夠從中找出一些共性內容，作為攻擊防范的參考。 一、 攻擊定義 軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系， 在合法軟件正常傳播 和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過 傳統安全產品檢查達到非法目的的攻擊

7、類型。 二、 典型事件 事件事件 1、播放器掛馬：藏在正規客戶端背后播放器掛馬：藏在正規客戶端背后 事件描述： 2015 年 5 月底開始，360 監測到一款名為“中國插件聯盟”的下載者木馬感染量暴漲， 其下載通道是多款用戶量上千萬甚至過億的播放器客戶端。 通過對木馬下載重災區搜狐影音的分析發現， 中招電腦上的搜狐影音通過官方渠道安裝， 本身沒有捆綁木馬，在此次中招前大約一個月時間內，電腦也沒有執行過可疑程序。經過重 點監測和測試驗證，我們發現在搜狐影音客戶端展示的一個私服廣告頁面，帶有 IE 遠程代 碼執行漏洞（CVE-2014-6332）的掛馬代碼，可以利用搜狐影音去執行木馬代碼。 影響范

8、圍： 6 月 1 日至 6 月 25 日之間，360 對播放器掛馬的攔截量就累計達到 3537406 次。 3 傳播載體： 以搜狐影音播放器為主的多款用戶量上千萬甚至過億的播放器客戶端。 爆發關鍵： 傳統殺毒軟件對瀏覽器進程防護比較嚴密， 即使漏洞被觸發， 一般也能保證掛馬攻擊不 會逃逸，但對于播放器等可以加載網頁廣告的其他客戶端，則是防護盲區。掛馬攻擊通過客 戶端廣告觸發，用戶只要啟動播放器就可能中招。 事件事件 2、域影域影：運營商內容被劫持：運營商內容被劫持 事件描述： 2016 年 3 月 5 日起， 360 監控到一批下載者木馬傳播異?；钴S， 前三天攔截量已經超過 20 萬次，同時網

9、頁掛馬量的報警數據也急劇增加。在對木馬的追蹤過程中，我們發現木馬 的傳播源頭竟然是各家正規廠商的軟件， 其中來自英雄聯盟和 QQLive 的占了前三天傳播量 的 95%以上。 本次木馬傳播，主要通過運營商（ISP）對用戶的網絡訪問做內容劫持，在 html 代碼中 插入一段 iframe 的廣告代碼所引起的。在這段廣告代碼中，為客戶端引入了帶掛馬攻擊的 Flash文件。 而國內仍有很多桌面客戶端使用舊版帶有漏洞的Flash插件， 如英雄聯盟、 QQLive 等。Flash 的漏洞，造成了這些客戶端本身易受攻擊，而客戶端本身也沒有做安全防護，沒 有對通信進行加密， 在 ISP 的攻擊面前不堪一擊。

10、 如果用戶計算機此時又沒有安裝帶有漏洞 防護功能的安全軟件，就會被感染。 影響范圍： 前三天攔截木馬 20 萬次，網頁掛馬量的報警數據也急劇增加。 傳播載體： 以英雄聯盟和 QQLive 為主的各種正規廠商軟件。 爆發關鍵： 通過廣告商購買渠道的廣告展示量， 選擇監管不嚴的廣告商投放帶有木馬的廣告， 在防 護脆弱的客戶端軟件上進行傳播。 事件事件 3、hao123 下載器：外包團隊引發的血案下載器：外包團隊引發的血案 事件描述： 2017 年 2 月 28 日，用戶從百度旗下的 4 兩個網站下載 PC 軟件并安裝時，會被植入惡意代碼，用來劫持導航站、電商網站、廣告聯 盟等各種流量，并偽裝成聯盟

11、流量騙取百度分成收入。 百度安全部門 3 月 3 日發出關于“百度旗下網站暗藏惡意代碼”事件的調查說明 ： 事件中兩個網址所提供的 hao123 軟件下載器為第三方外包團隊開發，其目的在于利用私自 植入存在風險的驅動程序，以劫持用戶流量，從百度聯盟中騙取分成。 影響范圍： 所有從 傳播載體： 百度 hao123 下載器。 爆發關鍵： 百度 hao123 軟件下載器是第三方外包團隊開發的，相關人員借助職務之便，輕松在下 載器中植入惡意插件。 事件事件 4、流行軟件流行軟件集體掛馬集體掛馬：頁游：頁游廣告廣告背后的殺機背后的殺機 事件描述： 2017 年 3 月 1 日開始，360 發現國內十余款

12、流行軟件出現集體掛馬情況，包括播放器、 游戲、輸入法、壓縮軟件、系統工具等類型的知名軟件，有的軟件用戶量高達數千萬甚至上 億規模。此次多款軟件掛馬源頭都來自一個由廣告聯盟推送的西游網頁游廣告。 國內的軟件客戶端及網站一般帶有廣告位，而廣告的展示涉及到廣告主、廣告聯盟、網 站主及客戶端等多個環節。 廣告商在接收廣告時一般只能對廣告的合法合規性進行粗略審核， 沒有能力進行安全驗證， 這就給不法分子以可趁之機。 此次波及十余款流行軟件的西游網廣 告，其中就插有惡意代碼，經由廣告聯盟最終投放到各大網站和客戶端中。 不法分子在此次掛馬中利用的是微軟 2016 年披露并修復的 IE 瀏覽器腳本引擎漏洞 （

13、CVE-2016-0189） ，如果用戶電腦沒有打補丁，又沒有開啟殺毒軟件進行實時防護，帶毒 廣告在展示時就會偷偷下載運行木馬， 給受害者電腦強制安裝大量推廣軟件， 造成電腦卡慢， 甚至可能引發更嚴重的風險。 影響范圍： 十余款流行軟件用戶，其中有的軟件用戶量高達數千萬甚至上億規模。 5 傳播載體： 播放器、游戲、輸入法、壓縮軟件、系統工具等流行軟件。 爆發關鍵： 廣告商在接收廣告時一般只能對廣告的合法合規性進行粗略審核， 沒有能力進行安全驗 證，因此可以在網頁廣告中插有惡意代碼，利用 IE 漏洞傳播。 事件事件 5、Fireball： “外銷”的流氓軟件： “外銷”的流氓軟件 事件描述： 2

14、017 年 6 月 1 日，CheckPoint 報告稱，一個來自中國的名為 Fireball（火球）的惡意軟 件傳播量達到 2.5 億，前五名分別是印度、巴西、墨西哥、印度尼西亞和美國，恐會“引發 全球災難” 。 Fireball 相關的惡意軟件，會在安裝時強制用戶勾選同意修改 Chrome 瀏覽器主頁和新 標簽頁的選項。然后，惡意軟件會向 Chrome 瀏覽器中添加相關的擴展程序。經分析，擴展 程序會通過 Manifest.json 配置文件，修改 Chrome 瀏覽器的主頁、起始頁和新標簽頁。 360 在估評后，判定該軟件屬于國內的“流氓軟件”，強制性讓用戶下載安裝，不過對 比國內下載多

15、款軟件插件，而且難以卸載的流氓軟件，該軟件已經很厚道了。 影響范圍： 傳播量達到 2.5 億，被外國安全公司評價有能力“引發全球災難” 。 傳播載體： Chrome 瀏覽器 爆發關鍵： 勾選設置 Chrome 主頁和新標簽的選項是強制的，不選不讓安裝。 事件事件 6、暗云暗云 III：被“主動”放行的木馬：被“主動”放行的木馬 事件描述： 2017 年 6 月 9 日起，一款名為“暗云 III”的木馬被揭露出來，這是一個影響面廣、潛 在危害大的現實威脅。 木馬主要通過外掛、游戲輔助、私服登錄器等傳播，此類軟件通常誘導用戶關閉安全軟 件后使用，使得木馬得以乘機植入。木馬主要通過云控進行任務發布，

16、傳播及執行惡意功能 6 時無文件寫入磁盤，所具有的 Bootkit 能力也使之運行得更加隱蔽而且難以查殺。 該木馬可以根據攻擊者的指示對指定的目標系統執行 DDoS、CC 攻擊，木馬所感染的 電腦構成了幾個龐大僵尸集群， 據悉前不久發生的多起大流量 DDoS 攻擊背后的基礎惡意代 碼就是該木馬。 影響范圍： 受影響的電腦高達百萬，已構成幾個龐大僵尸集群。 傳播載體： 外掛、游戲輔助、私服登錄器等。 爆發關鍵： 誘導用戶使用外掛、游戲輔助、私服登錄器等軟件時，關閉安全軟件，木馬乘機植入。 事件事件 7、Petya：混入升級通道的：混入升級通道的勒索病毒勒索病毒 事件描述： 2017 年 6 月

17、27 日晚，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受 大規模 Petya 勒索病毒襲擊.，該病毒遠程鎖定設備，然后索要贖金。其中，烏克蘭地區受災 最為嚴重，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響，包 括首都基輔的鮑里斯波爾國際機場（Boryspil International Airport） 、烏克蘭國家儲蓄銀行 （Oschadbank） 、船舶公司（AP Moller-Maersk） 、俄羅斯石油公司（Rosneft）和烏克蘭一些 商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。有研究認為，Petya 的本 來目的就是破壞而非敲詐，目的

18、就是破壞烏克蘭的重點基礎設施，只是偽裝成 Petya 惡意軟 件的樣子來欺騙安全分析人員，因此有的安全公司稱之為 NotPetya 攻擊。 根據事后的分析， 此次事件在短時間內肆虐歐洲大陸， 在于其利用了在烏克蘭流行的會 計軟件 M.E.Doc 進行傳播。這款軟件是烏克蘭政府要求企業安裝的，覆蓋率接近 50%。更 為嚴重的是， 根據安全公司的研究，M.E.Doc 公司的升級服務器在問題爆發前接近三個月就 已經被控制，也就是說，攻擊者已經控制了烏克蘭 50%的公司達三個月之久，Petya 攻擊只 是這個為期三個月的控制的最后終結，目的就是盡可能多破壞掉環境，避免取證。至于在之 前的三個月當中已經

19、進行了什么活動， 影響范圍： 自 6 月 27 日在歐洲爆發起，短時間內襲擊了烏克蘭、俄羅斯、印度、西班牙、法國、 7 英國以及歐洲多個國家。 傳播載體： 烏克蘭流行會計軟件（M.E.Doc）更新程序 爆發關鍵： 攻擊者通過感染烏克蘭流行會計軟件（M.E.Doc） 更新服務器，向用戶推送包含病毒 的軟件更新。用戶更新軟件就會感染病毒，給企業系統和數據造成慘重損失。 事件事件 8、大規模軟件升級劫持大規模軟件升級劫持：針對：針對升級升級的網絡的網絡“投毒”“投毒” 事件描述： 2017 年 7 月 3 日，360 公司紕漏了基于域名 的一組大規模軟件 升級劫持事件。在事件第一階段中，用戶嘗試升級

20、若干知名軟件客戶端時，HTTP URL 會被 劫持，實際下載得到的是“加料”的惡意軟件。在第二階段中，惡意軟件會在表面上正常安 裝知名軟件客戶端的同時，在后臺偷偷下載安裝推廣其他軟件?；诰W絡層面的監測計算， 此次軟件升級劫持的影響范圍遠超 WannaCry 勒索蠕蟲， DNS 訪問每日活躍數量是后者爆發 期間的 1000 倍。 即 便 在 360 公 開 批 露 了 本 輪 大 規 模 軟 件 升 級 劫 持 情 況 之 后 ， 主 力 域 名 的訪問量雖然下降到了高峰期的1/10， 但并沒有完全停止劫持行為， 平均每天仍然有高達400萬次活躍訪問， 大約是蠕蟲WannaCry爆發期間活躍程

21、度的100倍。 盡管國內的軟件升級劫持目前僅僅被利用流氓推廣軟件， 但是大規模的網絡劫持、 大量 缺乏安全升級機制的軟件，如果再加上“商業模式”非常成熟的勒索病毒，無疑會造成災難 性后果。 影響范圍： 幾款用戶量上億的軟件均被劫持，攻擊攔截量 40 萬/日，域名的訪問量月平均訪問次數 約為 2000 萬/日，高峰時期 4 千萬/日。 傳播載體： 愛奇藝、百度云盤等多款流行軟件。 爆發關鍵： 劫持客戶端升級程序， 導致下載回來的安裝包變為被不法分子篡改過的推廣程序。 通過 網絡劫持，將正規軟件替換為帶有惡意程序的“假軟件” ，在用戶運行正常安裝包的同時， 8 靜默安裝其他推廣程序。 事件事件 9

22、、擒狼擒狼：下載站捆綁下載站捆綁與與網站掛馬網站掛馬并用并用 事件描述： 2017 年 7 月 13 日，360 發現大量網絡廣告出現集體掛馬，廣告內容以同城交友等誘惑 信息為主。該木馬被命名為“擒狼” ，主要功能是鎖定瀏覽器的主頁并帶有遠程控制后門， 作者通過木馬謀取暴利，是一起典型的黑產行為。 該木馬通過漏洞執行、安裝服務和驅動，通過驅動鎖定瀏覽器主頁，服務實現自啟動并 將自身注入系統進程.連接 C&C 下載配置和插件，其中一個插件劫持淘寶客的推廣 ID 來實 現流量變現，不排除還有其他插件實現靜默安裝等更多的黑產行為。 鎖主頁普通版木馬，通過官方主頁推廣，用戶和推廣者并不知道有后門，表面

23、上通過鎖 主頁的提成盈利，其實更大部分來自于后門插件的淘寶客竊??；鎖主頁免殺版木馬，針對有 固定用戶量的推廣者， 可能使用下載站捆綁或網站掛馬等方式實現推廣， 推廣者應該知道軟 件帶有后門，鎖主頁和后門插件竊取淘寶客的收益由推廣者和作者共同分成。 此次掛馬攻擊主要是使用的 Kaixin exploit kit（掛馬攻擊包） ，是近年來比較活躍的掛馬 組合攻擊包，也是目前已公開發現的國內唯一一個專門提供掛馬攻擊的服務。 影響范圍： 僅木馬被發現當天，360 就攔截了 3 萬多次攻擊。 傳播載體： 網絡廣告頁面 爆發關鍵： 黑客通過一些網站的廣告位嵌入含漏洞的網頁，誘導用戶點擊。 事件事件 10、

24、異鬼異鬼 II：藏在刷機軟件中的流氓藏在刷機軟件中的流氓 事件描述： 2017 年 7 月 25 日， “異鬼”出現啦。這是一款 Bootkit 流氓推廣軟件，可篡改瀏覽器 主頁、劫持導航網站，并在后臺刷取流量。異鬼通過國內高速下載器推廣，隱藏在多款正 規刷機軟件中，例如知名軟件甜椒刷機，且帶有官方數字簽名，使得異鬼能夠繞過大量安 全防護軟件， 通過一系列復雜技術潛伏在用戶電腦中， 具有靜默安裝、 云端控制、 隱蔽性強、 9 難以查殺等特點。 影響范圍： 上百萬臺用戶機器受到感染 傳播載體： 甜椒刷機等多款正規刷機軟件 爆發關鍵： 隱藏在多款正規刷機軟件中，帶有官方數字簽名。 事件事件 11、

25、Kuzzle：假冒安全：假冒安全軟件軟件的病毒的病毒 事件描述： 2017 年 8 月 3 日，火絨安全團隊截獲惡性病毒“Kuzzle” ，該病毒感染電腦后會劫持瀏 覽器首頁牟利， 同時接受病毒作者的遠程指令進行其他破壞活動。 它通過下載站的高速下載 器推廣傳播，下載器會默認下載攜帶病毒的“云記事本”程序。電腦感染病毒后，瀏覽器首 頁會被劫持，谷歌、火狐、360 等多款主流瀏覽器都會被修改為 hao123 導航站。 “Kuzzle”采用多種技術手段躲避安全軟件的查殺，甚至盜用知名安全廠商的產品數字 簽名， 其中就包括盜用知名安全廠商北信源公司的數字簽名。 當安全軟件檢測到該數字簽名 時，會將其

26、誤認為是北信源產品，自動放過病毒，不進行查殺。更為嚴重的是，用戶即使重 裝系統也難以清除該病毒，使用戶電腦長期處于被犯罪團伙的控制之下。 關于簽名為何用于簽發惡意驅動程序，截至目前并沒得到官方的說法。 影響范圍： 谷歌、火狐、360 等多款主流瀏覽器首頁被劫持 傳播載體： 下載站高速下載器 爆發關鍵： 盜用知名安全廠商的產品數字簽名，利用安全軟件的“白名單”的信任機制來躲避查殺。 事件事件 12、XshellGhost：嵌入正規軟件的后門：嵌入正規軟件的后門 事件描述： 2017 年 8 月 7 日，流行遠程管理工具 Xshell 系列軟件的廠商 NetSarang 發布了一個更 10 新通告

27、，聲稱在卡巴斯基的配合下發現并解決了一個在 7 月 18 日的發布版本的安全問題。 360 威脅情報中心分析了 Xshell Build 1322 版本（此版本在國內被大量分發使用） ，發 現并確認其中的 nssock2.dll 組件存在后門代碼，惡意代碼會收集主機信息往 DGA 的域名發 送并存在其他更多的惡意功能代碼。 Xshell 提供業界領先的性能和強大功能在免費終端模擬軟件中有著不可替代的地位， 而 國內大量下載站提供的 Xshell 均是含有此漏洞的版本。用戶如果使用了特洛伊化的 Xshell 工具版本，可能導致本機相關的敏感信息被泄露到攻擊者所控制的機器。 影響范圍： Build

28、 1322 版本在國內開發運維人員中的使用范圍很廣，初步估計十萬級別用戶受影響。 傳播載體： 流行遠程終端 Xshell 爆發關鍵： Xshell 相關的用于網絡通信的組件 nssock2.dll 被發現存在后門類型的代碼，DLL 本身 有廠商合法的數字簽名。 三、 共性分析 在對上述 12 起軟件供應鏈攻擊事件進行仔細分析后，我們發現它們在借用的合法軟件 身份、利用角度、潛入階段、攻擊方法等方面都下足了功夫，這也是它們能夠利用“合法軟 件”身份快速進駐用戶電腦并成功發起攻擊的關鍵。 11 借借用用軟件軟件類型類型 事件名稱事件名稱 軟件類型軟件類型 付費形式付費形式 事件 1：播放器掛馬 娛

29、樂軟件 免費 事件 2：域影 娛樂軟件 免費 事件 3：hao123 下載器 搜索下載 免費 事件 4：流行軟件集體掛馬 娛樂軟件、辦公軟件、系統工具 免費 事件 5：Fireball 搜索下載 免費 事件 6：暗云 III 娛樂軟件 免費 事件 7：Petya 行業軟件 付費 事件 8：大規模軟件升級劫持 娛樂軟件、搜索下載 免費 事件 9：擒狼 其他軟件 免費 事件 10：異鬼 II 系統工具 免費 事件 11：Kuzzle 搜索下載 免費 事件 12：XshellGhost 編程開發 免費 利用角度分析利用角度分析 事件名稱事件名稱 監管不嚴監管不嚴 不自律不自律 漏洞漏洞 事件 1：播

30、放器掛馬 事件 2：域影 事件 3：hao123 下載器 事件 4：流行軟件集體掛馬 事件 5：Fireball 事件 6：暗云 III 事件 7：Petya 事件 8：大規模軟件升級劫持 事件 9：擒狼 事件 10：異鬼 II 事件 11：Kuzzle 事件 12：XshellGhost “利用角度”是指不法分子所利用的軟件廠商及其分發渠道自身存在的安全缺陷。 1） 監管不嚴： 指軟件廠商及其分發渠道有能力規避但卻沒有做到位而產生的安全缺陷。 2）不自律：指軟件廠商及其分發渠道為了達到某些特殊目的而不做嚴格自我約束產生 的安全缺陷。 3） 漏洞： 指在軟件廠商及其分發渠道毫不知情的情況下，

31、不法分子所采用的惡意利用， 包括但不僅限于軟件自身存在的缺陷、正規簽名被惡意仿冒等利用方式。 12 潛入階段分析潛入階段分析 事件名稱事件名稱 下載安裝下載安裝 更新維護更新維護 信息推送信息推送 事件 1：播放器掛馬 事件 2：域影 事件 3：hao123 下載器 事件 4：流行軟件集體掛馬 事件 5：Fireball 事件 6：暗云 III 事件 7：Petya 事件 8：大規模軟件升級劫持 事件 9：擒狼 事件 10：異鬼 II 事件 11：Kuzzle 事件 12：XshellGhost “潛入階段”是指不法分子所利用的合法軟件與軟件用戶進行信任連接的階段。 1）下載安裝：指用戶從軟件

32、廠商及其分發渠道下載軟件安裝包進行軟件安裝的過程。 2）升級維護：指用戶根據軟件廠商提示對已安裝軟件進行版本升級的過程。 3）信息推送：指軟件廠商在用戶使用軟件過程中主動推送的信息，例如商業廣告。 攻擊方法分析攻擊方法分析 事件名稱事件名稱 劫持劫持 篡改篡改 掛馬掛馬 事件 1：播放器掛馬 事件 2：域影 事件 3：hao123 下載器 事件 4：流行軟件集體掛馬 事件 5：Fireball 事件 6：暗云 III 事件 7：Petya 事件 8：大規模軟件升級劫持 事件 9：擒狼 事件 10：異鬼 II 事件 11：Kuzzle 事件 12：XshellGhost “攻擊方法”是指不法分子

33、將“合法軟件”變為“問題軟件”所使用的手段。 1）劫持：指不法分子改變合法軟件和軟件用戶之間的正常連接通道，以便對軟件本身 采取更進一步的攻擊行為。 13 2） 篡改： 指不法分子對合法軟件及其外鏈 （例如廣告頁面） 進行惡意篡改的攻擊方式。 3）掛馬：指不法分子在合法軟件及其外鏈（例如廣告頁面）中注入惡意代碼的攻擊方 式。 14 第二章 政企機構軟件應用現狀分析 軟件供應鏈攻擊之所以能夠成功，關鍵在于它們披上了“合法軟件”的外衣，因此很容 易獲得傳統安全產品的“信任” ，悄悄混入系統并實施攻擊。分析不同類型軟件在不同行業 的應用現狀，將有助于行業用戶了解自身遭遇軟件供應鏈攻擊的風險系數。為此

34、，我們對政 府、金融、能源、大企業、互聯網等多家政企機構的 19 萬臺終端的軟件應用情況進行了調 研與分析。 一、 軟件應用情況整體分析 不同不同類型類型軟件軟件的的應用應用現狀分析現狀分析 在對政企機構中不同類型軟件的應用現狀進行分析時，我們主要從“安裝量”和“覆蓋 率” 兩個維度展開。 其中， “安裝量” ， 是指某類軟件的安裝數量在總軟件安裝數量中的占比； “覆蓋率” ，指的是某類軟件中終端安裝數量最高的那款軟件的安裝率。 需要特別說明的是，不同類型軟件的“安裝量”與“覆蓋率”表達的是不同的含義：安 裝量多的軟件類型不一定覆蓋率高， 因為同一電腦用戶可能同時安裝了多個同類軟件； 反之 也

35、是一樣，覆蓋率高的軟件，其安裝量未必高。例如安全軟件，大型政企機構一般都會為辦 公電腦統一安裝，但每個終端通常只安裝一個，所以安全軟件的覆蓋率很高，但同類軟件的 安裝量并不是最高的。 1）軟件安裝量分析 就軟件安裝量來看，在所有參與調研的大型政企機構中，辦公軟件的安裝量最高，占比 為 30.1%；其次是休閑娛樂軟件，占比為 14.6%；行業軟件（特定行業使用的專用軟件）排 第三，占 14.4%；此外，還有 2.7%的軟件是企業自己定制的軟件。 2）軟件覆蓋率分析 從軟件覆蓋率來看，安全軟件的覆蓋率最高，高達 95.2%；其次是休閑娛樂軟件，占比 15 為 45.2%；搜索下載軟件排在第三，占比

36、為 37.7%；接下來分別是辦公軟件、行業軟件、股 票軟件等，如下圖所示。 3）軟件供應鏈攻擊風險提示 在政企機構中，有風險的軟件類型的“安裝量”越大，遭遇軟件供應鏈攻擊的概率就 越大；有風險的軟件類型的“覆蓋率”越高，一旦攻擊發生，被攻擊的電腦數量就越多。 不同不同付費形式付費形式軟件軟件的的應用應用現狀現狀分析分析 除了從使用角度對軟件進行分類外，我們還依據軟件供應商與政企機構的關系，將軟 件簡單的分為付費軟件和免費軟件兩種。 付費軟件：由于軟件廠商屬于政企機構的直接供應商，因此，這類軟件本身的質量、 安全性和服務等方面都會有很高的保障，遭遇攻擊的概率相對會低很多。當然，也正是因為 這種“

37、強”信任關系，付費軟件一旦遭遇軟件供應鏈攻擊，其破壞能力也將是巨大的。 免費軟件：這類軟件通常都是員工自行從互聯網上下載安裝的，軟件本身的安全性參 差不齊， 政企機構對軟件廠商也沒有直接的約束關系， 因此遭遇軟件供應鏈攻擊的風險非常 高。 在大型政企機構使用量最多的 400 款軟件中， 我們發現免費軟件的軟件安裝量占 60.2%， 付費軟件的安裝量則為 39.8%。而從軟件覆蓋率來看，付費軟件的覆蓋率高達 95.2%，而免 費軟件的覆蓋率則為 79.5%。 16 二、 重點行業軟件應用情況分析 具體到行業， 我們發下不同行業的政企機構的軟件使用特點也是不同的， 因此他們面臨 的軟件供應鏈風險也

38、有很大的不同。政府、金融、能源、大企業和互聯網五個領域用戶不同 類型軟件的安裝量占比如下圖所示。 1） 政府 與其他幾個行業相比，政府單位的軟件使用情況有三個明顯的特點：特點一，辦公軟件 的安裝量占比明顯高于其他行業，接近 40%；特點二，政府機構使用的定制軟件的情況異 常突出，定制軟件安裝量占到了軟件安裝總量的 15.7%，在本報告所研究的其他行業中，這 個數字均不超過 3%；特點三，政府機構是使用行業軟件最少的行業。 也就是說， 如果辦公軟件和定制軟件被不法分子利用發起軟件供應鏈攻擊， 政府單位中 招的概率要遠高于其他行業，因此建議政府單位對這兩類軟件的安全給予足夠的重視。 17 2） 金

39、融 與其他行業相比，金融行業使用行業軟件和搜索下載工具的比例是最高的，分別占其 軟件安裝總量的 22.1%和 21.9%。 所以，建議金融行業重點關注行業軟件、搜索下載這兩類軟件的安全。 3） 能源 能源企業也有兩個明顯特點：特點一，辦公軟件的安裝量占比很高，高達 39.8%，和政 府機構的情況基本一樣， 遠超其他行業； 特點二， 行業軟件的使用比例相對較高， 高達 18.1%， 僅次于金融行業，但比其他行業的占比要高得多。 所以，能源行業應相對更加重點關注辦公軟件和行業軟件的安全。 4） 大企業 與其他行業相比，大企業的軟件安裝種類多且繁雜，導致安裝量相對固定的安全軟件 的總安裝量占比僅為

40、6.8%，大大低于政府、金融和能源行業 10%左右的平均水平。此外， 央企（其他）用戶安裝休閑娛樂類軟件的比例最高，達到了 19.56%，遠高于政府、金融和 能源行業 5%以下的平均水平。 所以，大型央企應當對休閑娛樂類軟件的安全給予特別的關注。 5） 互聯網 互聯網行業的軟件使用情況相對比較均勻，同樣也存在安裝軟件過多過繁的情況。 所以，任何類型的軟件發生供應鏈攻擊，互聯網企業都要給予足夠的重視。 18 第三章 軟件供應鏈攻擊防范建議 軟件供應鏈攻擊更青睞免費的互聯網軟件，也不忘付費的行業軟件；政企機構網絡環 境中，互聯網軟件早已遍地開花，甚至完全不受監管原本，軟件供應商與終端用戶之間 是存在一定信任關系的，但軟件供應鏈攻擊給這種“信任”蒙上了一層陰霾，也給政企機構 的安全管理提出了新的挑戰： 如果沒有良好的終端軟件安全運維機制， 沒有可靠的安全產品 進行有效防御，在軟件供應鏈攻擊事件來臨之際，政企機構將毫無抵抗能力！ 一、 防范思路 如今， 軟件供應鏈攻擊事件愈演愈烈， 而員工自行通過互聯網下載安裝的免費軟件無疑 已成為政企機構安全防御體系中新的薄弱環節。 對于這些免費軟件而言， 自動推送升級已成 為其改善軟件質量、 提升用戶體驗