企業在運作過程中必須與許多供應商合作。其中企業必須採購的電腦或程式當中必定含有升級服務,從原廠的升級伺服器當中取得最新的程式版本,以修補漏洞或是增加程式的新功能。最近爆發的華碩供應鏈事件正是證明此類攻擊難以防禦之處。
這個攻擊的手法稱作 ShadowHammer,這個手法會利用惡意版本的 ASUS Live Update 對企業發動攻擊。這個程式主要用於讓購買華碩電腦的顧客,可以利用這個工具程式更新電腦中的 BIOS 或是驅動程式,以及其他相關應用程式。而這個惡意版本的華碩更新程式窩藏一個後門,會連線到外界的駭客控制站,下載駭客的攻擊程式。根據估計約五十萬的用戶在華碩的更新伺服器被入侵之後,下載到惡意版本的華碩更新程式。由於這些惡意程式都已經使用合法的 ASUS 數位簽章,資安防護措施很容易的就放行這些惡意程式。
類似的事件並非頭一遭,在2017年也是 Morphisec 的客戶首次回報,發現 CCleaner 供應鏈攻擊事件。隨著證據越來越多,Morphisec 的研究團隊發現這兩個攻擊事件之間有頗多相似之處。
這類入侵原廠更新伺服器,然後散播惡意程式,或是利用原廠程式漏洞,入侵客戶電腦的攻擊手法,非常難以偵測與防禦。因為傳統上都會信任原廠所開發的程式,尤其是已經加入原廠數位簽章,一般都是在企業內部自動加入到白名單。而這樣的預設信任方式給予駭客可趁之機,因為不管是病毒碼或是信譽平等分析,都難以對原廠的程式加以阻擋。就算使用進階的 EDR 方案,也會因為避免行為分析誤判,而將原廠程式預設為信任。唯一的防護方式就是 Morphisec 的記憶體隔離,透過將程式重新組合並複製一份程式資源,讓所有駭客的打擊目標完全失效。
若需更多詳細資訊,請聯絡數位資安。