防范新思维要转变!更新下载服务器滥用愈加严重

关于华硕的软件更新服务器遭骇，这样的问题是否有前例？事实上，这种更新机制遭***利用已经不是头一遭。例如，2013年南韩防病毒软件业AhnLab遭APT***一事，就是***透过更新服务器这样的正常管道，让企业使用的资安工具变成派毒工具。不过当时的***更为直接，***对企业派送恶意软件造成短时间内多间韩国银行与电视台遇害，导致使用该防毒的企业计算机与ATM受害，更影响了正常的金融交易运作，这也使得该国政府启动国家危机管控机制。在，过去也有安装下载服务器遭***的案例，例如2014年底，游戏代理商Garena的游戏安装档遭到感染，该公司在网站上发出信息安全公告，同时公司高层也透过公开声明向玩家致歉，表达对此骇侵事件的重视与负责。从上述两起关于更新、下载服务器的受骇事件来看，早有前例可循，但类似状况并未因此终止。

在接下来几年，又相继传出各种形式的******，不是直接从攻破企业防护，而是透过供货商的更新、部署，甚至是开发过程下手，进而威胁到使用这些应用或服务的企业，令人防不胜防。举例来说，2015年的苹果XcodeGhost事件，***更是从App开发的环境下手，仿冒一个植入恶意代码的山寨版，并散布到中国云端空间与论坛，让使用的开发者，打造出的App都具有恶意软件，而这一事件也点出一个现象，那就是许多中国开发者在下载苹果开发工具时，竟是选择非官方来源的载点。

不仅如此，***的下手面向与锁定对象，都有很大不同与可能性。像是2017年***利用在乌克兰知名的会计软件，被用来散布勒索软件NotPetya，不少资安业者更是认为，这是以瘫痪系统为目标的国家级***行动，与前述南韩防病毒软件事件相同的是，******目标有相当明确的区域性。此外，在2017年还有像是知名网管工具Xshell 5、系统清理工具CCleaner，这类全球都有不少企业用户的软件，也都曾经发现被***、假冒，而成为***散播恶意软件的管道，带来广大的影响，这也与此次华硕事件相同，受害的用户遍及各地。

甚至，还有些是锁定产业上下游的事件，例如***从PC业者的合作伙伴下手，像是有研究人员揭露HP计算机的音效芯片驱动程序，内藏键盘侧录程序。此外，也有***假冒某PDF编辑软件业者合作伙伴的服务器，并透过特别的挟持手段，让用户安装PDF软件时原本要从合作伙伴下载MSI格式的字体包，变成连至***服务器，用户计算机因而被递送挖矿程序。上述这些仅仅是部分案例而已，然而我们已经不难看出利用供应链的***形式与范围之广，而且又难以察觉。在华硕的这次事件后，也再次让整体产业，都更关注到更新服务器与凭证的安全问题，更要提醒的是，尽管业者本身财物损失并不严重，但无形的商誉却造成极大的破坏。

而最关键的问题是，一旦更新服务器与程序代码签名证书受骇，等于***就能藉由这样的合法管道散布恶意威胁，不论是产品开发的公司或是产品用户，该如何继续信任这些产品的安全性？对此，面对用户软件服务更新有庞大需求的微软，他们的信息安全暨风险管理协理林宏嘉也提出他们的观察。他强调这是一种***逻辑的转变，业者过去在意的是本身有没有东西被偷，做好自身的防护，但现在也应该要转变思维，或许业者本身不是价值目标物，但是***可以透过他们去掳获到很多有价值的目标，因此，本身的防御也要跟上。

林宏嘉并表示，从犯罪的经济体系来看，过去APT***只是锁定单一目标采各种针对性***手法。现在***更在意的是经济规模，而从这些软件业者下手，可一次获取到众多的受害者，再来看谁适合成为目标，或者是先知道某群用户使用的工具，然后搞清楚其产业炼结构，再从周边找出容易攻破的点。无论如何，未来这样的网络威胁还可能会变得更泛滥。在今年初，我们也持续看到许多资安业者发布的2019网络安全预测，都在提醒供应链***将是现在的主流。对于软件开发商或自行开发应用程序的企业团队而言，近年不断在提倡安全软件开发，但软件部署与交付，以及后续软件升级与维护的安全，也都不能像过去一样轻忽。

当软件更新服务器遭骇，使用这些软件的企业与用户该如何处置？
一般而言，更新服务的作用不外乎是功能增加强化与漏洞的修补，企业在考虑升级稳定性之余，通常都是信任这样的更新机制，而这样的管道一旦被***，不论系统、PC与软件业者的更新服务，其实都将带来同样严重程度的风险，但涉及系统与底层的威胁层面，还是最令人忧心。在华硕这次传出软件更新服务器遭***，让用户可能更新了具后门的华硕Live Update版本，事后用户该如何因应？原则上，就是依照原厂提供的安全公告，将Live Update更新至最新且安全的版本，用户事后能够做的事情相当有限。另外，官方还建议若是确认自己受到影响，应备份重要数据并还原操作系统，同时定期更换密码以保障用户安全。但对于企业用户而言，若是这种威胁事件不断增加的情形下，是否对于这些更新机制也应抱持着零信任的态度？因为这类***已经暴露了软件更新机制的风险，尽管软件供应链本身需要负相当大的责任，但用户也可以进一步思考的是，若是不小心发生这样的问题，该如何降低风险？

例如，现有的防护机制是否能查出这样的风险，是否要增强端点上的侦测与响应机制，或是做出更高要求的管控，以避免未经授权的程序执行。同时，企业要对自己本身的目标掌握度也要够好，也就是要清楚知道一套软件安装在多少台电脑上，内部总共安装多少软件及其更新状态，即便问题发生也能快速清查影响范围。而对于企业在内部近端架设的软件更新主机，是否也应增设检查的关卡，来减少威胁的发生，无论如何，在软件供应链***的威胁之下，除了供货商要保障本身服务的安全，但用户与企业本身是否也该采取更严谨的做法，因为这已是现今无法回避的挑战。

原文地址：https://blog.51cto.com/13373212/2391035