1、 中国政企软件供应链攻击 现状分析报告 360 天擎团队 360 威胁情报中心 360 安全监测与响应中心 2017 年 9 月 报告摘要 软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、 不 自律、漏洞等问题,在合法软件下载安装、更新维护、信息推送的过程中,利用用户与 软件供应商之间的信任关系,成功绕开传统安全产品的围追堵截。 合法软件包括安全杀毒、休闲娱乐������、搜索下载、办公软件、行业软件、股票网银、定制 软件、图形图像等多种类型。这些软件中,既包含付费软件,也包含免费软件。政企机 构中的免费软件,大多是员工通过互联网渠道自行下载安装的。 政企机构中, 办公软件的安装
2、量最高, 占比为 30.1%; 其次是休闲娱乐软件, 占比为 14.6%; 行业软件(特定行业使用的专用软件)排名第三,占 14.4%。 政企机构中, ����安全软件的覆盖率最高��������, 高达 95.2%; 其次是休闲娱乐软件, 占比为 45.2%; 搜索下载软件排名第三,占比为 37.7%。 在政企机构使用量最多的 400 款软件中,免费软件的安装量高达 60.2%,付费软件的安 装量则为 39.8%;免费软件的覆盖率为 79.5%,付费软件的覆盖率则高达 95.2%。 根据不同行业中各类软件的实际使用情况, 建议政府单位特别关注办公软件、 定制软件 的安全问题,建议金融单位特别关注行业软件、搜索下载软
3、����件的安全问题,建议能源单 位特别关注办公软件、 行业软件的安全问题, 建议大型企业特别关注休闲娱乐软件的安 全问题,建议互联网公司关注所有软件类型的安全问题。 要想规避软件供应链攻击引发的风险, 建议政企机构掌控全网终端的软件分布情况, 选 择安全软件下载渠道, 把控软件升级通道, 加强分析和感知互联网软件的网络通信行为 的能力,并提升对软件供应链攻击事件的应急响应能力。 关键词:关键词: 软件供应链攻击 软件安装量 软件覆盖率 2 目 录 报告摘要报告摘要 . 1 研究背景研究背景 . 1 第一章第一章 软件供应链攻击事件分析软件供应链攻击事件分析 . 2 一、 攻击定义 . 2 二、 典型
4、事件 . 2 三、 共性分析 . 10 第二章第二章 政企机构软件应用现状分析政企机构软件应用现状分析 . 14 一、 软件应用情况整体分析 . 14 二、 重点行业软件应用情况分析 . 16 第三章第三章 软件供应链攻击防范建议软件供应链攻击防范建议 . 18 ������一、 防范思路 . 18 二、 360 软件供应链攻击解决方案 . 19 三、 写在最后 . 22 附录附录 1 相关定义相关定义 . 23 一、 关于软件供应链攻击 . 23 二、 关于软件分类 . 23 三、 关于软件付费形式 . 23 附录附录 2 研究团队研究团队 . 24 一、 360 天擎团队 . 24 二、 360 安全
5、监测与响应中心 . 24 三、 360 威胁情报中心 . 24 1 研究背景 Fireball、暗云 III、Petya、异鬼 I���������I、Kuzzle、XShellGhost最近三个月以来,通过合 法软件传播的恶意软件越来越多, 正在全球范围内迅速蔓延开来, 微软将其称之为 “Software Supply Chain Attack” ,即“软件供应链攻击” 。 这类攻击最大的特点就是获得了“合法软件”的保护,因此很容易绕开传统安全产品的 围追堵截,进行大范围的传播和攻击。 它们更青睐哪些类型的“合法软件”?又是如何借用“合法软件”身份的? 这些“合法软件”在政������企机构中的应用情况如何?哪些行业是高
6、危群体? 防范这类攻击的要点是什么?政企机构该如何规避风险? 中国������政企软件供应链攻击现状分析报告将为您一一解答。 2 第一章 软件供应链攻击事件分析 严格说, 软件供应链攻击并不是一种全新的攻击类型, 过去几年这类攻击事件时有发生, 只是 2017 年开始呈现爆发态势。 为此, 我们选取了近年来 12 个比较有代表性的事件进行分 析,希望能够从中找出一些������共性内容,作为攻击防范的参考。 一、 攻击定义 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系, 在合法软件正常传播 和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过 传统安全产品检查达到非法目的的攻击
7、类型。 二、 典型事件 事件事件 1、播放器挂马:藏在正规客户端背后播放器挂马:藏��������在正规客户端背后 事件描述: 2015 年 5 月底开始,360 监测到一款名为“中国插件联盟”的下载者木马感染量暴涨, 其下载通道是多款用户量上千万甚至过亿的播放器客户端。 通过对木马下载重灾区搜狐影音的分析发现, 中招电脑上的搜狐影音通过官方渠道安装, 本身没有捆绑木马,在此次中招前大约一个月时间内,电脑也没有执行过可疑程序。经过重 点监测和测试验证,我们发现在搜狐影音客户端展示的一个私服广告页面,带有 IE 远程代 码执行漏洞(CVE-2014-6332)的挂马代码,可以利用搜狐影音�������去执行木马代码。 影响范
8、围: 6 月 1 日至 6 月 25 日之间,360 对播放器挂马的拦截量就累计达到 3537406 次。 3 传播载体: 以搜狐影音播放器为主的多款用户量上千万甚至过亿的播放器客户端。 爆发关键: 传统杀毒软件对浏览器进程防护比较严密, 即使漏洞被触发, 一般也能保证挂马攻击不 会逃逸,但�����对于播放器等可以加载网页广告的其他客户端,则是防护盲区。挂马攻击通过客 户端广告触发,用户只要启动播放器就可能中招。 事件事件 2、域影域影:运营商内容被劫持:运营商内容被劫持 事件描述: 2016 年 3 月 5 日起, 360 监控到一批下载者木马传播异常活跃, 前三天拦截量已经超过 20 万次,同时网
9、页挂马量的报警数据也急剧增加。在对木马的追踪过程中,我们发现木马 的���������传播源头竟然是各家正规厂商的软件, 其中来自英雄联盟和 QQLive 的占了前三天传播量 的 95%以上。 本次木马传播,主要通过运营商(ISP)对用户的网络访问做内容劫持,在 html 代码中 插入一段 iframe 的广告代码所引起的。在这段广告�����代码中,为客户端引入了带挂马攻击的 Flash文件。 而国内仍有很多桌面客户端使用旧版带有漏洞的Flash插件, 如英雄联盟、 QQLive 等。Flash 的漏洞,造成了这些客户端本身易受攻击,而客户端本身也没有做安全防护,没 有对通信进行加密, 在 ISP 的攻击面前不堪一击。
10、 如果用户计算机此时又没有安装带有漏洞 防护功能的安全软件,就会被感染。 影响范围: 前三天拦截木马 20 万次,网页挂马量的报警数据也急剧增加。 传播载体: 以英雄联盟和 QQLive 为主的各种正规厂商软件。 爆发关键: 通过广告商购买渠道的广告展示量, 选择监管不严的广告商投放带有木马的广告, 在防 护脆弱的客户端软件上进行传播。 事件事件 3、�������hao123 下载器:外包团队引发����的血案下载器:外包团队引发的血案 事件描述: 2017 年 2 月 28 日,用户从百度旗下的 4 两个网站下载 PC 软件并安装时,会被植入恶意代码,用来劫持导航站、电商网站、广告联 盟等各种流量,并伪装成联盟
11、流量骗取百度分成收入。 百度安全部门 3 月 3 日发出关于“百度旗下网站暗藏恶意代码”事件的调查说明 : 事件中两个网址所提供的 hao123 软件下载器为第三方外包团队开发,其目的在于利用私自 植入存在风险的驱动程序,��������以劫持用户流量,从百度联盟中骗取分成。 影响范围: 所有从 传播载体: 百度 hao123 下载器。 爆发关键: 百度 hao123 软件下载器是第三方外包团队开发的,相关人员借助职务之便,轻松在下 载器中植入恶意插件。 事件事件 4、流行软件流行软件集体挂马集体挂马:页游:页游广告广告背后的杀机背后的杀机 事件描述: 2017 年 3 月 1 日开始,360 发现国内十余款
12、流行软件出现集体挂马情况,包括播放器、 游戏、输入法、压缩软件、系统工具等类型的知名软件,有的软件用户量高达数千万甚至上 亿规模。此次多款软件挂马源头都来自一个由广告联盟推送的西游网页游广告。 国内的软件客户端及网站一般带有广告位,而广告的展示涉及到广告主、广告联盟、网 站主及客户端等多个环节。 广告商在接收广告时一般只能对广告的合法合规性进行粗略审核, �����没有能力进行安全验证, 这就给不法分子以可趁之机。 此次波及十余款流行软件的西游网广 告,其中就插有恶意代码,经由广告联盟最终投放到各大网站和客户端中。 不法分子在此次挂马中利用的是微软 2016 年披露并修复的 IE 浏览器脚本引擎漏洞 (
13、CVE-2016-0189) ,如果用户电脑没有打补丁,又没有开启杀毒软件进行实时防护,带毒 广告在展示时就会偷偷下载运行木马, 给受害者电脑强制安装大量推广软件, 造成电脑卡慢, 甚至可能引发更严重的风险。 影响范围: 十余款流行软件用户,其中有的软件用户量高达数千万甚至上亿规模。 5 传播载体: 播放器、游戏、输入法、压缩软件、系统工具等流行软件。 爆发关键: 广告商在接收广告时一般只能对广告的合法合规性�����进行粗略审核, 没有能力进行安全验 证,因此可以在网页广告中插有恶意代码,利用 IE 漏洞传播。 事件事件 5、Fireball: “外销”的流氓软件: “外销”的流氓软件 事件描述: 2
1�����4、017 年 6 月 1 日,CheckPoint 报告称,一个来自中国的名为 Fireball(火球)的恶意软 件传播量达到 2.5 亿,前五名分别是印度、巴西、墨西哥、印度尼西亚和美国,恐会“引发 全球灾难” 。 Fireball 相关的恶意软件,会在安装时强制用�����户勾选同意修改 Chrome 浏览器主页和新 标签页的选项。然后,恶意软件会向 Chrome 浏览器中添加相关的扩展程序。经分析,扩展 程序会通过 Manifest.json 配置文件,修改 Chrome 浏览器的主页、起始页和新标签页。 360 在估评后,判定该软件属于国内的“流氓软件”,强制性让用户下载安装,不过对 比国内下载多
15、款软件插件,而且难以卸载的流氓软件,该软件已经很厚道了。 影响范围: 传播量达到 2.5 亿,被外国安全公司评价有能力“引发全球灾难” 。 传播载体: Chrome 浏览器 爆����发关键: 勾选设置 Chrome 主页和新标签的选项是强制的,不选不让安装。 事件事件 6、暗云暗云 III:被“主动”放行的木马:被“�������主动”放行的木马 事件描述: 2017 年 6 月 9 日起,一款名为“暗云 III”的木马被揭露出来,这是一个影响面广、潜 在危害大的现实威胁。 木马主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软 件后使用,使得木马得以乘机植入。木马主要通过云控进行任务发布,
16、传播及执行恶意功能 6 时无文件写入磁盘,所具有的 Bootkit 能力也使之运行得更加隐蔽而且难以查杀。 该木马可以根据攻击者的指示对指定的目标系统执行 DDoS、CC 攻击,木马所感染的 电脑构成了几个庞大僵尸集群, 据悉前不久发生的多起大流量 DDoS 攻击背后的基础恶意代 码就是该木马。 影响范围: 受影响的电脑高达百万,已构成几个庞大僵尸集群。 传播载体: 外挂、游戏辅��������助、私服登录器等。 爆发关键: 诱导用户使用外挂、游戏辅助、私服登录器等软件时,关闭安全软件,木马乘机植入。 事件事件 7、Petya:混入升级通道的:混入升级通道的勒索病毒勒索病毒 事件描述: ������2017 年 6 月
17、27 日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受 大规模 Petya 勒索病毒袭击.,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾 最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包 括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport) 、乌克兰国家储蓄银行 (Oschadbank) 、船舶公司(AP Moller-Maersk) 、俄罗斯石油公司(Rosneft)和乌克兰一些 商业银�������行以及部分私人公司、零售企业和政府系统都遭到了攻击。有研究认为,Petya 的本 来目的就是破坏而非敲诈,目的
18、就是破坏乌克兰的重点基础设施,只是伪装成 Petya 恶意软 件的样子来欺骗安全分析人员,因此有的安全公司称之为 NotPetya 攻击。 根据事后的分析, 此次事件在短时间内肆虐欧洲大陆������, 在于其利用了在乌克兰流行的会 计软件 M.E.Doc 进行传播。这款软件是乌克兰政府要求企业安装的,覆盖率接近 50%。更 为严重的是, 根据安全公司的研究,M.E.Doc 公司的升级服务器在问题爆发前接近三个月就 已经被控制,也就是说,攻击者已经控制了乌克兰 50%的公司达三个月之久,Petya 攻击只 是这个为期三个月的控制的最后终结,目的就是尽可能多破坏掉环境,避免取证。至于在之 前的三个月当中已经
19、进行了什么活动, 影响范围: 自 6 月 27 日在欧洲爆发起,短时间内袭击了乌克兰、俄罗斯、印度、西班牙、法国、 7 英国以及欧洲多个国家。 传播载体: 乌克兰流行会计软件(M.E.Doc)更新程序 爆发关键: 攻击者通过感染乌克兰流行会计软������件(M.E.Doc) 更新服务器,向用户推送包含病�������毒 的软件更新。用户更新软件就会感染病毒,给企业系统和数据造成惨重损失。 事件事件 8、大规模软件升级劫持大规模软件升级劫持:针对:针对升级升级的网络的网络“投毒”“投毒” 事件描述: 2017 年 7 月 3 日,360 公司纰漏了基于域名 的一组大规模软件 升级劫持事件。在事件第一阶段中,用户尝试升级
20、若干知名软件客户端时,HTTP ����URL 会被 劫持,实际下载得到的是“加料”的恶意软件。在第二阶段中,恶意软件会在表面上正常安 装知名软件客户端的同时,在后台偷偷下载安装推广其他软件。基于网络层面的监测计算, 此次软件升级劫持的影响范围远超 WannaCry 勒索蠕虫, DNS 访问每日活跃数量是后者爆发 期间的 1000 倍。 即 便 在 360 公 开 批 露 了 本 轮 大 规 模 软 件 升 级 劫 持 情 况 之 后 , 主 力 域 名 的访问量虽然下降到了高峰期的1/10, 但并没有完全停止劫持行为, 平均每天仍然有高达400万次活跃访问, 大约是蠕虫WannaCry爆发期间活跃程
21、度的100倍。 尽管国内的软件升级劫持目前仅仅被利用流氓推广软件, 但是大规模的网络劫持、 大量 缺乏安全升级机制的软件,如果再加上“商业模式”非常成熟的勒索病毒,无疑会造成灾难 性后果。 影响范围: 几款用户量上亿的软件均被�����劫持,攻击拦截量 40 万/日,域名的访问量月平均访问次数 约为 2000 万/日,高峰时期 4 千万/日。 传播载体: 爱奇艺、百度云盘等多款流行软件。 爆发关键: 劫持客户端升级程序, 导致下载回来的安装包变为被不法分子篡改过的推广程序。 通过 网络劫持,将正规软件替换为带有恶意程序的“假软件” ,在用户运行正常安装包的同时, 8 静默安装其他推广程序。 事件事件 9
22、、擒狼擒狼:下载站捆绑下载站捆绑与与网站挂马网站挂马并用并用 事件描述: 2017 年 7 月 13 日,360 发现大量网络广告出现集体挂马,广告内容����以同城交友等诱惑 信息为主。该木马被命名为“擒狼�����” ,主要功能是锁定浏览器的主页并带有远程控制后门, 作者通过木马谋取暴利,是一起典型的黑产行为。 该木马通过漏洞执行、安装服务和驱动,通过驱动锁定浏览器主页,服务实现自启动并 将自身注入系统进程.连接 C&C 下载配置和插件,其中一个插件劫持淘宝客的推广 ID 来实 现流量变现,不排除还有其他插件实现静默安装等更多的黑产行为。 锁主页普通版木马,通过官方主页推广,用户和推广者并不知道有后门,表面
23、上通过锁 �����主页的提成盈利,其实更大部分来自于后门插件的淘宝客窃取;锁主页免杀版木马,针对有 固定用户量的推广者, 可能使用下载站捆绑或网站挂马等方式实现推广, 推广者应该知道软 件带有后门,锁主页和后门插件窃取淘宝客的收益由推广者和作者共同分成。 此次挂马攻击主要是使用的 Kaixin exploit kit(挂����马攻击包) ,是近年来比较活跃的挂马 组合攻击包,也是目前已公开发现的国内唯一一个专门提供挂马攻击的服务。 影响范围: 仅木马被发现当天,360 就拦截了 3 万多次攻击。 传播载体: 网络广告页面 爆发关键: 黑客通过一些网站的广告位嵌入含漏洞的网页,诱导用户点击。 事件事件 10、
24、异鬼异鬼 II:藏在刷机软件中的流氓藏在刷机软件中的流氓 事件描述: 201�����7 年 7 月 25 日, “异鬼”出现啦。这是一款 Bootkit 流氓推广软件,可篡改浏览器 主页、劫持导航网站,并在后台刷取流量。异鬼通过国内高速下载器推广,隐藏在多款正 规刷机软件中,例如知名软件甜椒刷机,且带有官方数字签名,使得异鬼能够绕过大量安 全防护软件, 通过�����一系列复杂技术潜伏在用户电脑中, 具有静默安装、 云端控制、 隐蔽性强、 9 难以查杀等特点。 影响范围: 上百万台用户机器受到感染 传播载体: 甜椒刷机等多款正规刷机软件 爆发关键: 隐藏在多款正规刷机软件中,带有官方数字签名。 事件事件 11、
25、Kuzzle:假冒安全:假冒安全软件软件的病毒的病毒 事件描述: 2017 年 8 月 3 日,火绒安全团队截获恶性病毒“Kuzzle” ,该病毒感染电脑后会劫持浏 览器上海品茶牟利, 同时接受病毒作者的远程指令进行其他破坏活动。 它通过下载站的高速下载 器推广传播,下载器会默认下载携带病毒的“云记事本”程序。电脑感染病毒后,浏览器首 页会被劫持,谷歌、火狐、360 等多款主流浏览器都会被修改为 hao123 导航站。 “Kuzzle”采用多种技术手段躲避安全软件的查杀,甚至盗用知名安全厂商的产品数字 签名, 其�������中就包括盗用知名安全厂商北信源公司的数字签名。 当安全软�������件检测到该数字签名 时,会将其
26、误认为是北信源产品,自动放过病毒,不进行查杀。更为严重的是,用户即使重 装系统也难以清除该病毒,使用户电脑长期处于被犯罪团伙的控制之下。 关于签名������为何用于签发恶意驱动程序,截至目前并没得到官方的说法。 影响范围: 谷歌、火狐、360 等多款主流浏览器上海品茶被劫持 传播载体: 下载站高速下载器 爆发关键: 盗用知名安全厂商的产品数字签名,利用安全软件的“白名�����单”的信任机制来躲避查杀。 事件事件 12、XshellGhost:嵌入正规软件的后门:嵌入正规软件的后门 事件描述: 2017 年 8 月 7 日,流行远程管理工具 Xshell 系列软件的厂商 NetSarang 发布了一个更 10 新通告
27、,声称在卡巴斯基的配合下发现并解决了一个在 7 月 18 日的�������发布版本的安全问题。 360 威胁情报中心分析了 Xshell Build 1322 版本(此版本在国内被大量分发使用) ,发 现并确认其中的 nssock2.dll 组件存在后门代码,恶意代码会收集主机信息往 DGA 的域名发 送并存在其他更多的恶意功能代码。 Xshell 提供业界领先的性能和强大功能在免费终端模拟软件中有着不可替代的地位, 而 国内大量下载站提供的 Xshell 均是含有此漏洞的版本。用户如果使用了特洛伊化的 Xshell 工具版本,可能导致本机相关的敏感信息被泄露到攻击者所控制的机器。 影响范围: Build
28、 1322 版本在国内开发运维人员中的使用范围很广,初步估计十万级别用户受影响。 传播载体: 流行远程终端 Xshell 爆�������发关键: Xshell 相关的用于网络通信的组件 nssock2.dll 被发现存在后门类型的代码,DLL 本身 有厂商合法的数字签名。 三、 共性分析 在对上述 12 起软件供应链攻击事件进行仔细分析后,我们发现它们在借用的合法软件 身份、利用角度、潜入阶段、攻击方法等方面都下足了功夫,这也是它们能够利用“合法软 件”身份快速进驻用户电脑并成功发起攻击的关键。 11 借借用用������软件软件类型类型 事件名称事件名称 软件类型软件类型 付费形式付费形式 事件 1:播放器挂马 娱
29、乐软件 免费 事件 2:域影 娱乐软件 免费 事件 3:hao123 下载器 搜索下载 免费 事件 4:流行软件集体挂马 娱乐软件、办公软件、系统工具 免费 事件 5:Fireball 搜索下载 免费 事件 6:暗云 III 娱乐软件 免费 事件 7:Petya 行业软件 付费 事件 8:大规模软件升级劫持 娱乐软件、搜索下载 免费 事件 9:擒狼 其�����他软件 免费 事件 10:异鬼 II 系统工具 免费 事件 11:Kuzzle 搜索下载 免费 事件 12:XshellGhost 编程开发 免费 利用角度分析利用角度分析 事件名称事件名称 监管不严监管不严 不自律不自律 漏洞漏洞 事件 1:播
30、放器挂马 事件 2:域影 事件 3:hao123 下载器 事件 4:流行软件集体挂马 事件 5:Fireball 事件 6:暗云 III 事件 7:Petya 事件 8:大规模软件升级劫持 事件 9:擒狼 事件 10:异鬼 II 事件 11:Kuzz�����le 事件 12:XshellGhost “利用角度”是指不法分子所利用的软件厂商及其分发渠道自身存在的安全缺陷。 1) 监管不严: 指软件厂商及其分发渠道有能力规避但却没有���做到位而产生的安全缺陷。 2)不自律:指软件厂商及其分发渠道为了达到某些特殊目的而不做严格自我约束产生 的安全缺陷。 3) 漏洞: 指在软件厂商及其分发渠道毫不知情的情况下,
31、不法分子所采用的恶意利用, 包括但不��������仅限于软件自身存在的缺陷、正规签名被恶意仿冒等利用方式。 12 潜入阶段分析潜入阶段分析 事件名称事件名称 下载安装下载安装 更新维护更新维护 信息推送信息推送 事件 1:播放器挂马 事件 2:域影 事件 3:hao123 下载器 事件 4:流行软件集体挂马 事件 5:Fireball 事件 6:暗云 III 事件 7:Petya 事件 8:������大规模软件升级劫持 事件 9:擒狼 事件 10:异鬼 II 事件 11:Kuzzle 事件 12:XshellGhost “潜入阶段”是指不法分子所利用的合法软件与软件用户进行信任连接的阶段。 1)下载安装:指用户从软件
32、厂商及其分发渠道下载软件安装包进行软件安装的过程。 2)升级维护:指用户根据软件厂商提示对已安装软件进行版本升级的过程。 3)信息推送:指软件厂商在用户使用软件过程中主动推送的信息,例如商业广告。 攻击方法分析攻击方法分析 事件名称事件名称 劫持劫持 篡改篡改 挂马挂马 事件 1:播放器挂马 事件 2:域影 事件 3:hao12�������3 下载器 事件 4:流行软件集体挂马 事件 5:Fireball 事件 6:暗云 III 事件 7:Petya 事件 8:大规模软件升级劫持 事件 9:擒狼 事件 10:异鬼 II 事件 11:Kuzzle 事件 12:XshellGhost “攻击方法”是指不法分子
33、将“合法软件”变为“问题软件”所使用的手段。 1)劫持:指不法分子改变合法软件和软件用户之间的正常连接通道,以便对软件本身 采取更进一步的������攻击行为。 13 2) 篡改: 指不法分子对合法软件及其外链 (例如广告页面) 进行恶意篡改的攻击方式。 3)挂马:指不法分子在合法软件及其外链(例如广告页面)中注入恶意代码的攻击方 式。 14 第二章 政企机构软件应用现状分析 软件供应链攻击之所以能够成功,关键在于它们披上了“合法软件”的外衣,因此很容 易获得传统安全产品的“信任” ,悄悄混入系统并实施攻击。分析不同类型软件在不同行业 的应用现状,将有助于行业用户了解自身遭遇软件供应链攻击的风险系数。为此
34、,我们对政 府、金融、能源、大企业、互联网等多家政企机构的 19 万台终端的软件应用情况进行了调 研与分析。 一、 软件应用情况整体分析 不同不同类型类型软件软件的的应用应用现状分析现状分析 在对政企机构中不同类型软件的应用现状进行分析时,我们主要从“安装量”和“覆盖 率” 两个维度展开。 其中, “安装量” , 是指某类软件的安装数量在总软件安装数量中的占比; “覆�������盖率” ,指的是某类软件中终端安装数量最高的那款软件的安装率。 需要特别说明的是,不同类型软件的“安装量”与“覆盖率”表达的是不同的含义:安 装量多的软件类型不一定覆盖率高, 因为同一电脑用户可能同时安装了多个同类软件; 反之 也
35、是一样,覆盖率高的软件,其安装量未必高。例如安全软件,����大型政企机构一般都会为办 公电脑统一安装,但每个终端通常只安装一个,所以安全软件的覆盖率很高,但同类软件的 安装量并不是最高的。 1)软件安装量分析 ��������就软件安装量来看,在所有参与调研的大型政企机构中,办公软件的安装量最高,占比 为 30.1%;其次是休闲娱乐软件,占比为 14.6%;行业软件(特定行业使用的专用软件)排 第三,占 14.4%;此外,还有 2.7%的软件是企业自己定制的软件。 2)软件覆盖率分析 从软件覆盖率来看,安全软件的覆盖率最高,高达 95.2%;其次是休闲娱乐软件,占比 15 为 45.2%;搜索下载软件排在第三,占比
36、为 37.7%;接下来分别是办公软件、行业软件、股 票软件等,如下图所示。 3)软件供应链攻击风险提示 在政企机构中,有风险的软件类型的“安装量”越大,遭遇软件供应链攻击的概率就 越大;有风险的软件类型的“覆盖率�������”越高,一旦攻击发生,被攻击的电脑数量就越多。 不同不同付费形式付费形式软件软件的的应用应用现状现状分析分析 除了从使用角度对软件进行分类外,我们还依据软件供应商与政企机构的关系,将软 件简单的分为付费软件和免费软件两种。 付费软件:由于软件厂商属于政企机构的直接供应商,因此,这类软件本身的质量、 安全性和服务等方面都会有很高的保障,遭遇攻击的概率相对会低很多。当然,也正是因为 这种“
37、强”信任关系,付费软件一旦遭遇软件供应链攻击,其破坏能力也将是巨大的。 免费软件:这类软件通常都是员工自行从互联网上下载安装的,软件本身的安全性参 差不齐, 政企机构对软件厂商也没有直接的约束关系, 因此遭遇软件供应链攻击的风险非常 高。 在大型政企机构使用量最多的 400 款软件中, 我们发现免费软件的软件安装量占 60.2%, 付费软件的安装量则为 ������39.8%。而从软件覆盖率来看,付费软件的覆盖率高达 95.2%,而免 费软件的覆盖率则为 79.5%。 16 二、 重点行业软件应用情况分析 具体到行业, 我们发下不同行业的政企机构的软件使用特点也是不同的, 因此他们面临 的软件供应链风险也
38、有很大的不同。政府、金融、能源、大企业和互联网五个领域用户不同 类型软件的安装量占比如下图所示。 1) 政府 与其他几个行业相比,政府单位的软件使用情况有三个明显的特点:特点一,办公软件 的安装量占比明显高于其他行业,接近 40%;特点二,政府机构使用的定制软件的情况异 常突出,定制软件安装量占到�������了软件安装总量的 15.7%,在本报告所研究的其他行业中,这 个数字均不超过 3%;特点三,政府机构是使用行业软件最少的行业。 也就是说, 如果办公软件和定制软件被不法分子利用发起软件供应链攻击, 政府单位中 招的概率要远高于其他行业,因此建议政府单位对这两类软件的安全给予足够的重视。 17 2) 金
39、融 与其他行业相比,金融行业使用行业软件和搜索下载工具的比例是最高的,分别占其 软件安装总量的 22.1%和 21.9%。 所以,建议金融行业重点关注行业软件、搜索下载这两类软件的安全。 3) 能源 �����能源企业也有两个明显特点:特点一,办公软件的安装量占比很高,高达 39.8%,和政 府机构的情况基本一样, 远超其他行业; 特点二, 行业软件的使用比例相对较高, 高达 18.1%, 仅次于金融行业,但比其他行业的占比要高得多。 所以,能源行业应相对更加重点关注办公软件和行业软件的安全。 4) 大企业 与其他行业相比,大企业的软件安装种类多且繁杂,导致安装量相对固定的安全软件 的总安装量占比仅为
40、6.8%,大大低于政府、金融和能源行业 10%左右的平均水平。此外, 央������企(其他)用户安装休闲娱乐类软件的比例最高,达到了 19.56%,远高于政府、金融和 能源行业 5%以下的平均水平。 所以,大型央企应当对休闲娱乐类软件的安全给予特别的关注。 5) 互联网 互联网行业的软件使用情况相对比较均匀,同样也存在安装软件过多过繁的情况。 所以,任何类型的软件发生供应链攻击,互联网企业都要给予足够的重视。 18 第三章 软件供应链攻击防范建议 软件供应链攻击更青睐免费的互联网软件,也不忘付费的行业软件;政企机构网络环 境中,互联网软件早已遍地开花,甚至完全不受监管原本,软件供应商与终端用户之间 是存在一定信任关系的,但软件供应链攻击给这种“信任”蒙上了一�����层阴霾,也给政企机构 的安全管理提出了新的挑战: 如果没有良好的终端软件安全运维机制, 没有可靠的安全产品 进行有效防御,在软件供应链攻击事件来临之际,政企机构将毫无抵抗能力! 一、 防范思路 如今, 软件供应链攻击事件愈演愈烈, 而员工自行通过互联网下载安装的免费软件无疑 已成为政企机构安全防御体系中新的薄弱环节。 对于这些免费软件而言, 自动推送升级已成 为其改善软件质量、 提升用户体验
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
