《毒酒软件供应链混合样本攻击和防御_吴鹤意.pdf》由会员分享,可在线阅读,更多相关《毒酒软件供应链混合样本攻击和防御_吴鹤意.pdf(32页珍藏版)》请在三个皮匠报告上搜索。
1、毒酒:软件供应链混合样毒酒:软件供应链混合样本攻击和防御本攻击和防御Poisoned Wine:Software Supply Chain Mixed Sample Attack and Defense个人简介吴鹤意,东南大学网络安全专业毕业,拥有丰富的安全工作经验,参与过多个中央部委级网络安全体系建设以及攻防演练和实战,先后在华为2012实验室和深信服创新研究院担任安全技术专家,从事AI安全,数据安全,云安全,安全开发,情报狩猎等领域的研究和产品端到端落地。在国内外知名网络安全会议发表演讲,例如HITB,BSides,看雪SDC,XCon,Geekpwn,FB AI安全讲师等,参与了国内外多
2、个安全标准的编制(IEEE P2841-AI安全相关评估标准,国产化操作系统安全等),发表了多篇EI/SCI论文和专利,拥有国内外多项安全证书(CISP,CCSK,CDPSE等),给监管部门提交过若干0day漏洞,国产化操作系统通用安全问题和高级攻击狩猎溯源报告。本次议题内容仅代表个人观点1、背景介绍背景介绍2、混合样本思路混合样本思路3、测试效果测试效果4、防御手段防御手段混合样本指的是:跨平台的恶意样本。此类样本风险涉及软件供应链,之前就存在,例如通过在L i n u x 平台上运行w i n 平台的恶意软件,在w i n 平台上通过WS L 运行l i n u x 平台的样本,通过a n
3、 b o x 在l i n u x 平台上运行a n d r o i d 应用。也有人研究过相关的问题,例如右边所示:不过由于这类场景之前出现的不多,所以并未引起大家足够的关注。相关的厂商对此也不是很积极。包括学术界机构也发表过此领域的研究包括学术界机构也发表过此领域的研究,例如如下所示例如如下所示:相关的攻击成功率如下所示相关的攻击成功率如下所示:UOS简介但是目前情况发生了变化,在中国,近些年,越来越多支撑跨平台的操作系统和产品进入大家的日常工作中。例如UOS,目前在中国已经有了可观的使用率(市场占有率超过70%),而且支持win和android平台的应用在linux上运行。例如如下所示:
4、在在l i n u xl i n u x 平台上运行平台上运行w i nw i n 平平台应用台应用 U O S 在l i n u x 平台上运行a n d r o i d 平台应用,不仅软件厂商,包括中国的一些CP U 生产商也在积极开发相关功能,例如龙芯就支持硬件二进制翻译能力,如右所示:龙芯支持硬件二进制翻译,所以以前被大家忽视的软件供应链跨平台样本问题是时候引起大家的关注了。龙芯简介龙芯简介我们在三个中国国内都具有可观使用量的操作系统上进行了测试。使用了w i n e 和两个w i n 平台上知名的勒索恶意软件:Wa n n a Cr y 和Wa n n a R e n。三个平台和相关
5、配置如下所示:供应商版本版本防御手段机(专业版1 0 5 0)终端安全1 0.0阿里云位 U E F I 版主机安全华为云主机安全目前虽然l i n u x 平台上的样本相比w i n 平台还不是很多,但是攻击者可以通过上述的思路,迅速利用已有的大量样本,快速进行攻击,造成严重的破坏测试结果汇总如下测试结果汇总如下:供应商其他样本防御告警机攻击成功攻击未成功部分成功(占比1/4)文件隔离阿里云攻击未成功攻击成功部分成功(占比1/4)文件落盘和后缀告警华为云攻击成功攻击成功部分成功(占比1/4)暴力破解华为云测试结果举例:WannaCry攻击共加密文件160个,主机安全告警暴力破解文件加密情况文
6、件加密情况其他样本为随机抽取的12个真实win平台样本加密文件统计加密文件统计主机安全告警主机安全告警文件加密情况文件加密情况其他样本运行举例阿里云测试结果举例其他样本运行举例阿里云测试结果举例:Wa n n a Cr yWa n n a Cr y 攻击共加密文件攻击共加密文件1 71 7 个个,主机安主机安全告警暴力破解全告警暴力破解文件加密情况文件加密情况加密文件统计加密文件统计主机安全告警主机安全告警其他样本运行举例其他样本运行举例U OSU OS 真机测试结果举例真机测试结果举例:攻击成功示例攻击成功示例Wa n n a C r yWa n n a C r y 攻击共加密文件攻击共加密
7、文件6 26 2 个个,主机安全告警进行文件隔离主机安全告警进行文件隔离加密文件统计加密文件统计从上述测试可知,有部分的样本可以在linux平台上运行成功并生效,其中WannaCry和WannaRen两个知名勒索软件也在一定程度上逃过了主机安全的防御,对部分文件进行了加密破坏,说明我们不能忽视此类问题。目前各家服务商对于此类混合样本还是基于以往的落盘查杀和文件后缀规则,或者暴力破解来判断,普遍存在防御盲区和滞后性。针对此种新型攻击手法,我们提出了基于TPM EDR的防御方案,下面进行介绍:受信任的平台模块(TPM)技术旨在提供基于硬件的安全相关功能。TPM芯片是一种安全的加密处理器,旨在执行加
8、密操作。该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改TPM的安全功能。TPM的可信链如右图所示:目前一些服务商已经提供了TCM(中国国内版本的TPM)功能,例如阿里云就提供了vTCM产品,如右所示:阿里vTCM模块但是目前提供的TCM功能并未覆盖应用层保护,没有充分发挥可信计算的全部能力。以前因为TPM功能还未大规模使用,导致很多用户必须通过外置的TPM模块来尝试和体验,如下所示:各种外置TPM模块因为目前TPM芯片在Win11中必须开启,说明技术准备已经成熟,所以我们提出了TPM EDR这个概念,通过将可信计算与EDR结合,提供原生的安全防御能力,例如下表所示:防护软件可信计
9、算防护木马防御免疫广告推广防御免疫勒索程序防御免疫蠕虫防御免疫防御免疫防御免疫恶意软件防御免疫病毒防御防御后门防御防御漏洞利用防御防御在之前测试中也已经开启:可信启动方案细节和可信启动方案细节和UEFI TPM Agent实现要点实现要点:(1)SecureBoot使用自定义证书使用自定义证书,在在BIOS里导入里导入(2)自研自研UEFI放置在磁盘上放置在磁盘上,安全性由自定义证书安全性由自定义证书对应密钥签发对应密钥签发(由我们掌握密钥由我们掌握密钥)签名签名,SecureBoot会校验签名会校验签名(3)自研自研UEFI校验校验GRUB签名签名,GRUB签名由自定义签名由自定义证书对应密
10、钥签发证书对应密钥签发(4)GRUB对对Linux Kernel和和Initramfs进行校验进行校验,校校验通过再进行加载验通过再进行加载(5)之后靠initramfs内的tpm agent用户态对其他程序进行度量(6)自研UEFI有两个模式:强制模式和宽容模式,宽容模式下只告警,不拦截(7)“模式模式”保存在保存在TPM内内应用程序白名单要点应用程序白名单要点:(1)Linux TPM Agent的基本框架参的基本框架参考考Fedora的的fapolicyd的实现方式的实现方式(2)fapolicyd需要需要4.15+内核内核(3)可以实时扫描二进制文件可以实时扫描二进制文件、脚本脚本文件
11、文件(仅以仅以MIME判断判断,不考虑复杂的不考虑复杂的攻击脚本绕过攻击脚本绕过)(4)同样具备强制模式和宽容模式基于路径的访问控制要点基于路径的访问控制要点:(1)同样以同样以fanotify为基础为基础,以主体以主体(进程路径进程路径)和客和客体体(访问文件路径访问文件路径)的规则标记主体是否访问客体的规则标记主体是否访问客体(2)Fanotify可以得到主体可以得到主体pid和客体路径和客体路径(3)默认规则考虑可操作性默认规则考虑可操作性,对系统文件不做约束对系统文件不做约束,对第三方文件重点约束对第三方文件重点约束(4)具备强制模式和宽容模式和学习模式具备强制模式和宽容模式和学习模式
12、,学习模式学习模式对单一进程进行学习对单一进程进行学习(类似类似tomoyo模块模块)TPM EDR=UEFI TPM Agent+Linux TPM Agent,包括了包括了可信启动方案可信启动方案、应用程序白名单应用程序白名单、基于路径的访问控制基于路径的访问控制、基基于标签的访问控制于标签的访问控制、基于系统调用的访问控制基于系统调用的访问控制、远程证明方远程证明方案案、可信管理平台等功能可信管理平台等功能。基于标签的访问控制要点:(1)同样以同样以fanotify为基础为基础,以主体以主体(进程路径对应的进程路径对应的文件系统元属性文件系统元属性)和客体和客体(访问文件对应的文件系统元
13、访问文件对应的文件系统元属性属性)做为规则做为规则,类似类似smack的基础规则的基础规则(2)Fanotify可以得到主客体的元属性可以得到主客体的元属性,但需要考虑但需要考虑加速缓存来存储元属性加速缓存来存储元属性(3)默认规则考虑可操作性,对系统文件不做约束,对第三方文件重点约束(4)具备强制模式和宽容模式基于系统调用的访问控制要点:(1)以对以对auditd的配置为基础的配置为基础,考虑将对重点程序的高考虑将对重点程序的高危系统调用进行审计危系统调用进行审计,并转发审计日志到本机并转发审计日志到本机UDP端口端口(快速原型开发快速原型开发)(2)宽容模式下只记录警告宽容模式下只记录警告
14、(3)强制模式下通过外部强制模式下通过外部kill信号杀死高危进程信号杀死高危进程(4)对socket的审计可以带来按进程的网络活动监控,理论上可以得到比iptables更细粒度的网络访问控制(配合netlink)远程证明方案要点:(1)可信启动时滚可信启动时滚PCR,并记录启动日志并记录启动日志,按按TPM标标准执行准执行(2)应用程序白名单滚PCR并记录日志:只记录未在日志中的度量,此时方才滚PCR(此即IMA模式)(3)各访问控制:只记录未在日志中的访问轨迹,此时方才滚PCR(可能拖累系统速度,解决方案待调研)可信管理平台要点:(1)统一管理所有可信设备统一管理所有可信设备,实现实现TC
15、M/TPM身份登记身份登记、证书证书颁发颁发、可信策略下发配置可信策略下发配置、可信状态校验可信状态校验(远程证明远程证明)等功能等功能(2)管理可信启动链上涉及的固件更新的配套可信策略管理可信启动链上涉及的固件更新的配套可信策略(关系关系RTM)(3)管理可信应用程序白名单的可信策略管理可信应用程序白名单的可信策略(4)实体/虚拟TPM/TCM证书颁发(5)实现等保2.0中,关于“在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心”的要求TPM EDR效果演示内存消耗7M,CPU 3%以内1.可信管理平台界面概览2.可信代理程序界面概览3.可信代理程序通过启动校验4
16、.可信代理程序启动校验失败5.可信代理程序对未知可执行文件拦截或告警6.可信代理程序阻止对受保护的文件进行修改TPM EDR效果演示1.可信管理平台界面概览TPM EDR效果演示2.可信代理程序界面概览TPM EDR效果演示3.可信代理程序通过启动校验TPM EDR效果演示4.可信代理程序启动校验失败TPM EDR效果演示5.可信代理程序对未知可执行文件拦截或告警TPM EDR效果演示6.可信代理程序阻止对受保护的文件进行修改 通过上述的设计,我们希望可以利用可信计算的技术来提高针对软件供应链混合样本的防御能力,补足之前忽视的一个安全威胁。我们认为随着跨平台的场景越来越多,以前的异构安全理念,也会被新的安全威胁挑战,我们应该提前规划,做好防御准备,保护用户的安全。