“XShell”Ghost后门事件凸显软件供应链安全风险

2017年8月4日起，NetSarang[1]非常流行的远程终端Xshell被发现被植入了后门代码。如果用户使用了特洛伊化的Xshell工具版本，就可能导致敏感信息被泄露到攻击者所控制的机器。

安全人员发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中nssock2.dll模块均存在恶意代码；在Xshell Build 5.0.1322和Xshell Build 5.0.1325两个版本中也已确认恶意代码存在。

从目前的统计数据来看，国内使用Xshell软件的开发、运维等技术人员较多，特别是Build 1322版本在国内的使用范围很广，用户、机器、网络相关敏感信息泄露可能导致巨大的安全风险。

影响广泛的XshellGhost后门事件再次引发业界对供应链安全的关注。

什么是NetSarang？

NetSarang是一家国外以提供安全连接解决方案的公司，其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件，一般应用于IT运维技术人员进行远程运维管理。

“软件供应链”安全问题凸显

在这次扩散广泛、影响规模较大的XshellGhost后门事件中，攻击者通过在流行工具中植入后门的方式进行传播，这种传播方式与2015年苹果Xcode开发工具被植入后门的事件如出一辙：当时很多程序员出于方便，使用第三方Xcode编译器，导致编写的APP存在安全问题，由此带来一系列的问题，包括可能的隐私泄漏、广告点击。初步估计超过4000个不同版本的苹果应用被感染，受影响用户超过一亿。

同样，在今年6月，攻击者通过感染乌克兰流行会计软件（M.E.Doc） 的更新服务器，然后向用户推送包含病毒的软件更新，从而导致petya病毒迅速在欧洲扩散。

这些影响广泛的安全事件说明，当前网络恶意攻击方式有了新的变化——供应链已经成为网络攻击的一大重点目标。360安全专家认为，目前“软件供应链安全”问题日益严重。企业正因存在漏洞的第三方软件而遭受安全威胁。

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。

这种攻击利用了软件供应链中的通常信任关系，因此虽没有利用零日漏洞，却同样可以通过有效入侵供应链中的特定软件，单次攻击就可以影响大量用户，从而造成巨大影响。很多情况下，由于这些软件和服务都会被集成到企业IT基础架构中，因而扩大了攻击者的攻击路径。

XshellGhost后门事件、会计软件M.E.Doc更新攻击、第三方Xcode编译器等这些安全事件事件都带来了较大影响。此外，卡巴斯基在8月份发现NetSarang公司的服务器与客户端管理工具升级版，被黑客植入后门。微软的安全部门在今年5月也宣布挫败黑客组织Operation WilySupply利用软件更新对供应链进行攻击的事件。在国内爆发的事件还包括，2015年，百度旗下应用开发SDK Moplus被曝其中内含后门，引发WormHole事件。

由于软件在传播阶段遭受污染而不断发生的重大安全事件，充分验证了软件供应链正面临日益严重的安全威胁。

应对软件供应链攻击的思路

由于软件供应链安全涉及了从源码编译、软件分发与下载，到软件更新的整个过程。仔细剖析相关案例，会发现在软件的分发与下载过程，以及软件更新过程往往是攻击者最容易利用的环节。

（1）软件“传播渠道”成为不受监管的灰色地带

由于受不同物理地域网络连接速度的限制，Xshell软件、Xcode等国外开发工具在国内传播的渠道主要是通过第三方的软件下载站、网盘。攻击者正式利用了这些不受监管的传播途径，将官方途径获取的开发工具植入恶意程序，从而导致开发出APP泄露用户信息 。当前第三方软件下载站普遍自带软件下载器，这些下载器大部分都会被安全软件判定为恶意风险软件。

（2）软件更新成黑客攻击重要途径

利用会计软件M.E.Doc更新服务器，导致petya病毒迅速在欧洲扩散；黑客组织Operation WilySupply利用软件更新对供应链进行攻击。这些攻击事件都是通过渗透官方的更新服务器，对用户进行攻击的。我们平时下载的一些应用、工具类软件在使用或更新时则是莫名其妙的弹出广告窗口，这些软件的更新服务器存在被攻击者渗透的可能。

（3）软件厂商被渗透后知后觉

7月份的Kuzzle病毒我们记忆犹新，通过盗用知名安全厂商的数字签名，利用安全软件的“白名单”的信任机制来躲避查杀，用户即使重装系统也难以清除该病毒，使用户电脑长期处于犯罪集团的控制。Kuzzle病毒的传播正是通过软件网站下载器传播的。

http://mmbiz.qpic.cn/mmbiz_png/S2XrkqDY7mxMnAn0803z2mYvMSGpQrSEDdnR0aDYYibglVDgKS20Bpot5FSfyzFnkN44dF6rKTGicb5gA2FOeBuQ/0?wx_fmt=png

360安全专家认为，以上问题中反映了软件供应链安全在企业IT安全管理中经常被忽视，往往出现问题后才采取考虑如何应对。随着企业发展壮大过程中，员工终端使用的软件越来越多，软件供应链的安全问题应该上升到基础设施安全的高度来对待，对企业的安全管理者来说，需要从这些重要的攻击途径入手，封堵软件供应链安全的薄弱环节，最大程度确保软件在供应链环节的安全。

（1）构建安全可靠的PC软件生态圈

软件下载途径成为攻击者利用的重要途径，企业IT安全管理者需要为员工构建安全可靠的软件下载平台。所谓术业有专攻，企业IT管理者更多的关注点在于业务安全，对于软件基础设施安全，应该交给更为专业的安全厂商，由安全厂商对应用、工具类软件进行安全把关，建立一个软件足够丰富的PC软件生态圈和下载平台，可以覆盖大多数企事业用户的个性化要求。

（2）把控软件升级通道

从会计软件M.E.Doc更新攻击、NetSarang公司的服务器与客户端管理工具升级版后门，到黑客组织Operation WilySupply利用软件更新的攻击，在日益严重的供应链安全事件中，利用软件更新发起攻击已经成为最突出的问题，也说明软件提供商对于更新设施的防护措施不够到位。这要求企业IT管理人员封堵软件更新的网络通道，并且部署安全设备进行有力的管控。软件更新管理已经成为供应链安全的重要环节。

从理念到产品和方案，全面解决供应链安全

基于应对软件供应链安全的思路，目前360企业安全针对软件供应链安全已打造出产品化的解决方案，包括利用企业级软件管家确保安全下载途径、利用智慧防火墙对软件升级过程进行管理，利用一体化终端进行软件资产管理，确保受影响的软件版本全部都能得到处置。

（1）    企业软件管家构建安全下载平台

为了应对层出不穷的供应链攻击问题，企业应该确保用户应该做到从官方等正规渠道获取软件，但面对种类繁多的应用，最佳方式是基于360软件管家构建企业软件下载平台，这样既能确保应用的丰富性，安全性也能得到保障。降低员工从第三方平台或者论坛下载各种工具的风险，从根源上提升软件供应链的安全水平。

（2）部署智慧防火墙，把控软件升级通道

如前文所述，厂商提供软件的更新渠道并不一定是安全的，有可能造成企业重要信息的外泄或者引入恶意插件、广告构成二次威胁入侵。因此，作为用户来说，有必要扼住软件自有更新途径，由管理员有计划的统一进行更新升级。管理人员需要建立软件更新器进程组，禁止软件更新器进程的自动运行，并建立软件更新地址的网络通信的阻断策略。

此外，更重要的是部署360新一代智慧防火墙，除具备下一代防火墙复杂环境组网、深度应用识别、精细化访问控制功能以外，还集成了威胁情报安全技，通过与终端安全管理系统实现智能化的协同联动，可以对软件的更新进行细致的管控。对于软件供应商来说，则更需要部署新一代智慧防火墙，确保更新服务器能得到充分的安全防护。

（3）实时精准掌控PC软件资产，快速有效运维

IT安全管理者需要精准掌握公司、单位的软件资产信息，这样安全策略、安全基线才能有的放矢。比如针对这次“XShell”Ghost后门事件，安全厂商预警通告公布后，管理员利用360终端一体化产品的管控功能，可以在全网计算机内实时快速搜索统计Xshell、Xftp等受影响的软件在公司范围部署的具体情况，并对受影响的终端用户批量下发升级任务，大大降低提高运维工作的效率，也降低了数据泄露的风险。

（4）强制内网软件运行白名单

如果用户内网的业务较固定，IT管理者可以尝试制定内网软件运行白名单，强制内网可运行的软件及相关进程（通过文件、文件名、数字签名、MD5等维度识别），“非白即黑”机制可以相对很安全的保证内网软件的使用，只是这种模式对于业务变化较频繁的用户，会造成很大的名单变更运维工作量。

由于软件供应链安全问题具有较强的隐蔽性，往往用户被感染却很难发现；而且，其中涉及软件的分发传播、更新，以及管理等各个环节，给企业安全人员的管理带来较大挑战。360安全专家建议用户部署从软件管家、一体化终端，到智慧防火墙的整体方案，只有这样才能更全面地解决软件供应链的安全挑战。