petya 勒索软件肆意传播彻底暴露了来自“软件更新”的威胁
2017-07-11 10:17:20
在计算机安全建议列表中,用户系统 “ ” 的重要性仅次于 “ 不使用 ‘ password ’ 作密码 ”。不久前,petya 事件致使全球成千上万的网络系统瘫痪,甚至威胁到银行、企业、交通运输与电力公司基础设施。事实证明,软件自动更新本身就是这一病原载体。网络安全分析师警示,petya 并非黑客通过劫持软件自身免疫系统传播病毒的唯一或最后一起事件。
安全公司 eset 与思科 talos 研究人员上周发表了一份关于黑客入侵乌克兰小型软件公司 medoc 网络系统的详细分析报告,指出 80% 的乌克兰企业都在使用该公司出售的一款财务软件。据悉,黑客早在今年 4 月就已开始向软件更新注入恶意代码,传播 medoc 软件后门版本。6 月下旬,黑客向软件更新注入 petya 并从初始 medoc 网络入口肆意传播,中断制药巨头 merck、航运公司 maersk、乌克兰电力公司 kyivenergo 与 ukrenergo 等网络系统。
后门乘法
迪拜 comae technologies 创始人 matt suiche 表示:“ 我想知道是否有类似软件公司遭受攻击,它们极有可能是类似攻击事件的根源。” eset 还指出,除了 medoc 软件,黑客还采用其他手段感染大量乌克兰计算机。调查显示,他们先攻击一家不知名的软件公司并利用其 vpn 连接将勒索软件植入少数目标,随后再将 medoc 作为恶意软件传递工具。
约翰霍普金斯大学(john hopkins university)教授马修·格林(matthew green)表示,黑客将软件更新转化为系统漏洞的主要原因可能是 “ 白名单 ” 作为安全措施的现象日益频繁,严格限制了计算机上的安装程序,促使黑客从自行安装恶意软件转为对白名单程序进行劫持。随着企业薄弱环节遭受勒索软件攻击而中止服务,供应商不幸成为后续攻击目标。然而,现有防御措施却极为有限。
而 medoc 公司系统并未实施代码签名,这将允许任何可拦截软件更新的黑客充当 “ 中间人 ” 并将其改为后门。但即便实施签名,也不意味万无一失,因为有些黑客已深入公司网络,即有机会窃取密钥并针对恶意更新进行签名,或直接将后门添加至可执行程序源代码。
虚假疫苗
据悉,研究人员应阻止用户更新、修补软件或禁用自动更新软件,因为像 google 与微软这样的大公司面临产品多样化的趋势。此外,通过劫持更新方式传播恶意软件的另一潜在威胁可能就是各企业的过度反应。前 aclu 技术专家 chris soghoian 表示:“ 让消费者质疑安全更新的后果可能更为严重。”
这意味着从 google play store 或 apple app store 下载或更新的签名软件相对更加安全,但这并不等于 app store 不存在安全隐患。在高度敏感的网络环境中,即使是 “ 可信 ” 应用程序也不应完全信任。即系统管理员需要对网络系统进行详细划分,限制被列入白名单的软件权限并对文件进行及时备份,积极应对任何勒索软件爆发事件。
官方微信