毒酒软件供应链混合样本攻击和防御
如果无法正常显示,请先停止浏览器的去广告插件。
1. 毒酒:软件供应链混合样
本攻击和防御
Poisoned Wine:Software Supply Chain Mixed Sample
Attack and Defense
2. 个人简介
吴鹤意,东南大学网络安全专业毕业,拥有丰富的安全工作经
验,参与过多个中央部委级网络安全体系建设以及攻防演练和实
战,先后在华为2012实验室和深信服创新研究院担任安全技术
专家,从事AI安全,数据安全,云安全,安全开发,情报狩猎等
领域的研究和产品端到端落地。在国内外知名网络安全会议发表
演讲,例如HITB,BSides,看雪SDC,XCon,Geekpwn,FB
AI安全讲师等,参与了国内外多个安全标准的编制(IEEE
P2841-AI安全相关评估标准,国产化操作系统安全等),发表
了多篇EI/SCI论文和专利,拥有国内外多项安全证书(CISP,
CCSK,CDPSE等),给监管部门提交过若干0day漏洞,国产
化操作系统通用安全问题和高级攻击狩猎溯源报告。
本次议题内容仅代表个人观点
3. 1、背景介绍 2、混合样本思路
3、测试效果 4、防御手段
4.
5. 混合样本指的是:跨平台的恶意样
本。此类样本风险涉及软件供应链,
之前就存在,例如通过
在
Li
nux平台上运行wi
n平台的恶意软
件,在wi
n平台上通过WSL运行
l
i
nux平台的样本,通过anbox在
l
i
nux平台上运行andr
oi
d应用。也有
人研究过相关的问题,例如右边所
示:
6. 相关的攻击成功率如下所示:
包括学术界机构也发表过此领域的研究,例如如下所示:
不过由于这类场景之前出现的不多,
所 以 并 未 引 起 大 家 足 够 的 关 注 。相
关的厂商对此也不是很积极。
7. 但是目前情况发生了变化,在中国,近些年,越来越多支撑跨平台的操作系统和产品进入大家的日常工作中。例如UOS,
目前在中国已经有了可观的使用率(市场占有率超过70%),而且支持win和android平台的应用在linux上运行。例如如下
所示:
UOS简介
8. 在l
i
nux平台上运行wi
n平
台应用
UOS在l
i
nux平台上运行
andr
oi
d平台应用,不仅软件
厂商,包括中国的一些C PU生
产商也在积极开发相关功能,
例如龙芯就支持硬件二进制翻
译能力,如右所示:
9. 龙芯简介
龙芯支持硬件二进制翻译,所以以前被大
家忽视的软件供应链跨平台样本问题是时候引
起大家的关注了。
10.
11. 我们在三个中国国内都具有可观使用量的操作系统上进行了测试。使用了wi
ne和两个wi
n平台上知名的
勒索恶意软件:WannaC r
y 和WannaRen 。三个平台和相关配置如下所示:
供应商
机
阿里云
华为云
版本
(专业版1050 )
位 UE FI
版
版本
防御手段
终端安全10.
0
主机安全
主机安全
12. 目前虽然l
i
nux平台上的样本相比
wi
n平台还不是很多,但是攻击者可
以通过上述的思路,迅速利用已有
的大量样本,快速进行攻击,造成
严重的破坏
13.
14. 测试结果汇总如下:
供应商
其他样本
华为云测试结果举例:
WannaCry攻击共加密文件160个,主机安全
告警暴力破解
防御告警
文件加密情况
机
阿里云
华为云
攻击成功 攻击未成功 部分成功(占
比1/
4 ) 攻击未成功 攻击成功 部分成功(占
比1/
4 ) 文件落盘和后
缀告警
攻击成功 部分成功(占
比1/
4 ) 暴力破解
攻击成功
文件隔离
其 他 样 本 为 随 机 抽 取 的 12个 真 实 win平 台 样 本
15. 加密文件统计
主机安全告警
其他样本运行举例阿里云测试结果举例:
WannaC r
y 攻击共加密文件 17个,主机安
全告警暴力破解
文件加密情况
16. 文件加密情况
加密文件统计
17. 主机安全告警
其他样本运行举例
UOS真机测试结果举例:
18. 攻击成功示例
WannaC r
y攻击共加密文件62个,
主机安全告警进行文件隔离
加密文件统计
从上述测试可知,有部分的样本可以在linux平台上运行成功并生
效,其中WannaCry和WannaRen两个知名勒索软件也在一定程度上
逃过了主机安全的防御,对部分文件进行了加密破坏,说明我们不能
忽视此类问题。
19.
20. 目前各家服务商对于此类混合样本还是
基于以往的落盘查杀和文件后缀规则,
或者暴力破解来判断,普遍存在防御盲
区和滞后性。针对此种新型攻击手法,
我们提出了基于TPM EDR的防御方案,
下面进行介绍:
受信任的平台模块(TPM)技术旨在提供
基于硬件的安全相关功能。TPM芯片是
一种安全的加密处理器,旨在执行加密
操作。该芯片包含多个物理安全机制以
使其防篡改,并且恶意软件无法篡改
TPM的安全功能。TPM的可信链如右图
所示:
目前 一些服务商 已 经 提 供 了TCM(中
国 国 内版 本的TPM)功 能 ,例 如 阿 里
云 就 提供了vTCM产 品 ,如右所 示 :
21. 阿里vTCM模块
但是目前提供的TCM功能并未覆
盖应用层保护,没有充分发挥可
信计算的全部能力。以前因为
TPM功能还未大规模使用,导致
很多用户必须通过外置的TPM模
块来尝试和体验,如下所示:
在之前测试中也已经开启 :
各种外置TPM模块
因为目前TPM芯片在Win11中必须开
启,说明技术准备已经成熟,所以我们
提出了TPM EDR这个概念,通过将可信
计算与EDR结合,提供原生的安全防御
能力,例如下表所示:
防护软件 可信计
算防护
木马 防御 免疫
广告推广 防御 免疫
勒索程序 防御 免疫
蠕虫 防御 免疫
防御 免疫
防御 免疫
恶意软件 防御 免疫
病毒 防御 防御
后门 防御 防御
漏洞利用 防御 防御
22. TPM EDR=UEFI TPM Agent + Linux TPM Agent,包括了
可信启动方案、应用程序白名单、基于路径的访问控制、基
于标签的访问控制、基于系统调用的访问控制、远程证明方
案、可信管理平台等功能。
可信启动方案细节和UEFI TPM Agent实现要点:
(1)SecureBoot使用自定义证书,在BIOS里导入
(2)自研UEFI放置在磁盘上,安全性由自定义证书
对应密钥签发(由我们掌握密钥)签名,SecureBoot
会校验签名
(3)自研UEFI校验GRUB签名,GRUB签名由自定义
证书对应密钥签发
(4)GRUB对Linux Kernel和Initramfs进行校验,校
验通过再进行加载
(5)之后靠initramfs内的tpm agent用户态对其他程
序进行度量
(6)自研UEFI有两个模式:强制模式和宽容模式,
宽容模式下只告警,不拦截
(7)“模式”保存在TPM内
应用程序白名单要点:
(1)Linux TPM Agent的基本框架参
考Fedora的fapolicyd的实现方式
(2)fapolicyd需要4.15+内核
(3)可以实时扫描二进制文件、脚本
文件(仅以MIME判断,不考虑复杂的
攻击脚本绕过)
(4)同样具备强制模式和宽容模式
基于路径的访问控制要点 :
(1)同样以fanotify为基础,以主体(进程路径)和客
体(访问文件路径)的规则标记主体是否访问客体
(2)Fanotify可以得到主体pid和客体路径
(3)默认规则考虑可操作性,对系统文件不做约束,
对第三方文件重点约束
(4)具备强制模式和宽容模式和学习模式,学习模式
对单一进程进行学习(类似tomoyo模块)
23. 基于标签的访问控制要点:
(1)同样以fanotify为基础,以主体(进程路径对应的
文件系统元属性)和客体(访问文件对应的文件系统元
属性)做为规则,类似smack的基础规则
(2)Fanotify可以得到主客体的元属性,但需要考虑
加速缓存来存储元属性
(3)默认规则考虑可操作性,对系统文件不做约束,
对第三方文件重点约束
(4)具备强制模式和宽容模式
基于系统调用的访问控制要点:
(1)以对auditd的配置为基础,考虑将对重点程序的高
危系统调用进行审计,并转发审计日志到本机UDP端口
(快速原型开发)
(2)宽容模式下只记录警告
(3)强制模式下通过外部kill信号杀死高危进程
(4)对socket的审计可以带来按进程的网络活动监控,
理论上可以得到比iptables更细粒度的网络访问控制(配
合netlink)
可信管理平台要点:
(1)统一管理所有可信设备,实现TCM/TPM身份登记、证书
颁发、可信策略下发配置、可信状态校验(远程证明)等功能
(2)管理可信启动链上涉及的固件更新的配套可信策略(关系
RTM)
(3)管理可信应用程序白名单的可信策略
(4)实体/虚拟TPM/TCM证书颁发
(5)实现等保2.0中,关于“在检测到其可信性收到破坏后进行
报警,并将验证结果形成审计记录送至安全管理中心”的要求
远程证明方案要点:
(1)可信启动时滚PCR,并记录启动日志,按TPM标
准执行
(2)应用程序白名单滚PCR并记录日志:只记录未在
日志中的度量,此时方才滚PCR(此即IMA模式)
(3)各访问控制:只记录未在日志中的访问轨迹,此
时方才滚PCR(可能拖累系统速度,解决方案待调研)
24. TPM EDR效 果 演 示
内存消耗7M,CPU 3%以内
1.可信管理平台界面概览
2.可信代理程序界面概览
3.可信代理程序——通过启动校验
4.可信代理程序——启动校验失败
5.可信代理程序——对未知可执行文
件拦截或告警
6.可信代理程序——阻止对受保护的
文件进行修改
25. TPM EDR效 果 演 示
1.可信管理平台界面概览
26. TPM EDR效 果 演 示
2.可信代理程序界面概览
27. TPM EDR效 果 演 示
3.可信代理程序——通过启动校验
28. TPM EDR效 果 演 示
4.可信代理程序——启动校验失败
29. TPM EDR效 果 演 示
5.可信代理程序——对未知可执行文件拦截或告警
30. TPM EDR效 果 演 示
6.可信代理程序——阻止对受保护的文件进行修改
31. 通 过 上 述 的 设 计 ,我 们 希 望 可 以 利 用 可 信 计 算
的技术来提高针对软件供应链混合样本的防御能
力 ,补 足 之 前 忽 视 的 一 个 安 全 威 胁 。我 们 认 为 随 着
跨 平 台 的 场 景 越 来 越 多 ,以 前 的 异 构 安 全 理 念 ,也
会 被 新 的 安 全 威 胁 挑 战 ,我 们 应 该 提 前 规 划 ,做 好
防 御 准 备 ,保 护 用 户 的 安 全 。
32.