中国政企软件供应链攻击 现状分析报告 360天擎团队 360威胁情报中心 360安全监测与响应中心 2017年9月 报告摘要 软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、不 自律、漏洞等问题，在合法软件下载安装、更新维护、信息推送的过程中，利用用户与 软件供应商之间的信任关系，成功绕开传统安全产品的围追堵截。 合法软件包括安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制 软件、图形图像等多种类型。这些软件中，既包含付费软件，也包含免费软件。政企机 构中的免费软件，大多是员工通过互联网渠道自行下载安装的。 政企机构中，办公软件的安装量最高，占比为30.1%；其次是休闲娱乐软件，占比为14.6%； 行业软件（特定行业使用的专用软件）排名第三，占14.4%。 政企机构中，安全软件的覆盖率最高，高达95.2%；其次是休闲娱乐软件，占比为45.2%； 搜索下载软件排名第三，占比为37.7%。 在政企机构使用量最多的400款软件中，免费软件的安装量高达60.2%，付费软件的安 装量则为39.8%；免费软件的覆盖率为79.5%，付费软件的覆盖率则高达95.2%。 根据不同行业中各类软件的实际使用情况，建议政府单位特别关注办公软件、定制软件 的安全问题，建议金融单位特别关注行业软件、搜索下载软件的安全问题，建议能源单 位特别关注办公软件、行业软件的安全问题，建议大型企业特别关注休闲娱乐软件的安 全问题，建议互联网公司关注所有软件类型的安全问题。 要想规避软件供应链攻击引发的风险，建议政企机构掌控全网终端的软件分布情况，选 择安全软件下载渠道，把控软件升级通道，加强分析和感知互联网软件的网络通信行为 的能力，并提升对软件供应链攻击事件的应急响应能力。 关键词： 软件供应链攻击 软件安装量 软件覆盖率 2 目 录 报告摘要 ........................................................................................................................................... 1 研究背景 ........................................................................................................................................... 1 第一章 软件供应链攻击事件分析 ................................................................................................. 2 一、 攻击定义 ........................................................................................................................... 2 二、 典型事件 ........................................................................................................................... 2 三、 共性分析 ......................................................................................................................... 10 第二章 政企机构软件应用现状分析 ........................................................................................... 14 一、 软件应用情况整体分析 ................................................................................................... 14 二、 重点行业软件应用情况分析 ........................................................................................... 16 第三章 软件供应链攻击防范建议 ............................................................................................... 18 一、 防范思路 ......................................................................................................................... 18 二、 360软件供应链攻击解决方案 ........................................................................................ 19 三、 写在最后 ......................................................................................................................... 22 附录1 相关定义 ............................................................................................................................ 23 一、 关于软件供应链攻击 ...................................................................................................... 23 二、 关于软件分类 .................................................................................................................. 23 三、 关于软件付费形式 .......................................................................................................... 23 附录2 研究团队 ............................................................................................................................ 24 一、 360天擎团队 ................................................................................................................... 24 二、 360安全监测与响应中心 ................................................................................................ 24 三、 360威胁情报中心 ........................................................................................................... 24 1 研究背景 Fireball、暗云III、Petya、异鬼II、Kuzzle、XShellGhost……最近三个月以来，通过合 法软件传播的恶意软件越来越多，正在全球范围内迅速蔓延开来，微软将其称之为“Software Supply Chain Attack”，即“软件供应链攻击”。 这类攻击最大的特点就是获得了“合法软件”的保护，因此很容易绕开传统安全产品的 围追堵截，进行大范围的传播和攻击。 它们更青睐哪些类型的“合法软件”？又是如何借用“合法软件”身份的？ 这些“合法软件”在政企机构中的应用情况如何？哪些行业是高危群体？ 防范这类攻击的要点是什么？政企机构该如何规避风险？ …… 《中国政企软件供应链攻击现状分析报告》将为您一一解答。 2 第一章 软件供应链攻击事件分析 严格说，软件供应链攻击并不是一种全新的攻击类型，过去几年这类攻击事件时有发生， 只是2017年开始呈现爆发态势。为此，我们选取了近年来12个比较有代表性的事件进行分 析，希望能够从中找出一些共性内容，作为攻击防范的参考。 一、 攻击定义 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播 和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过 传统安全产品检查达到非法目的的攻击类型。 二、 典型事件 事件1、播放器挂马：藏在正规客户端背后 事件描述： 2015年5月底开始，360监测到一款名为“中国插件联盟”的下载者木马感染量暴涨， 其下载通道是多款用户量上千万甚至过亿的播放器客户端。 通过对木马下载重灾区搜狐影音的分析发现，中招电脑上的搜狐影音通过官方渠道安装， 本身没有捆绑木马，在此次中招前大约一个月时间内，电脑也没有执行过可疑程序。经过重 点监测和测试验证，我们发现在搜狐影音客户端展示的一个私服广告页面，带有IE远程代 码执行漏洞（CVE-2014-6332）的挂马代码，可以利用搜狐影音去执行木马代码。 影响范围： 6月1日至6月25日之间，360对播放器挂马的拦截量就累计达到3537406次。