前方预警！软件供应商将面临的攻防实战风险

前言:

软件供应链的安全问题越演越烈，在近几年的国家级实战攻防演习中频频发生。即使是在常态化，我们也在不断地帮客户（被供应链攻击的上游客户）应急或在自家环境中发现过此类事件。因此企业在防守难度上，又新增了一块高地。

作为安全产品的供应商，在瞬息万变的攻防态势下，正努力、主动地试图摸索出一条解决之道，提升产品的自身安全性以及到客户侧的整条链路安全性，以更好的服务客户。本系列文章将以供应商视角，介绍实战场景中遇到的软件供应链攻击，分享对应的常态化实践措施，以及在攻防演习前的大型集中战。

本篇将通过国家级攻防实战演习中、或实际已发生的供应链攻击案例，对软件供应商面临的安全风险进行剖析，最终将梳理出作为供应商（仅从供应商角度）的企业安全建设重点。

开门见山：

01

—

开源组件后门投毒风险

去年的国家级攻防演习前夕，攻击队在github上发布了安全产品0day漏洞exp，实则为一个Python开源组件的投毒项目。作为一名安全从业人员，在下载工具后肯定都会查看下源码或放到沙箱分析。

记忆犹新的是当时仔细阅读了exp，并没有一眼能识别的C2、也没有看起来比较奇怪的编码，所以就直接去看漏洞原理。但是公司内部的其他安全人员/爱好者，难免会为此好奇的去下载到本地运行，由此可能会带来边界被突破的风险。

02

—

面向安全人员投毒风险

今年国家级攻防演习的第6天，有人在github上预告即将放出安全产品的pwn漏洞，并于次日上传了poc。没想到竟是一个jar包，夹杂着很多官方签名的dll文件。

于是我们快速从正反两方面进行验证，正向是直接找一台备用电脑运行poc，同时在测试的安全产品和电脑上抓包，发现仅连了一下该产品但实际没有其他动作，不过用于测试的电脑被反弹了shell；

反向是反编译poc，虽然有的代码被做了混淆，但大概也能看出代码中的有趣提示（poc中有段代码检测操作系统类型，若是windows则打印反弹shell成功，若是mac则打印放你们一马），以及发现了一串cs的shellcode。由此可以判断，这是一起针对安全人员或者安全爱好者的投毒。???

更有趣的是，围观群众中不乏高手，直接提交issue说明poc有病毒。作者更是一位大师，义愤填膺的公开质疑提交人，不难看出他是很懂心理学和社工的。? ??

03

—

产品开发流程投毒风险

2020.12，攻击者将恶意程序注入到Orion的编译过程中，通过“合法”的制品将后门带到客户内网，从而发起对客户的敏感信息窃取。这是非常经典的针对流程投毒的攻击案例，轻松绕过了软件签名验签机制、手法更加隐蔽，为此米国的很多政府机构也都中招了，影响巨大。

04

—

软件产品安全漏洞风险

安全产品自身的安全性建设起步相对较晚，高危漏洞及组合多，如RCE（后台Injection、硬编码）；演习中的关注度又相当高（演习规则有关，如集权类产品得分高），漏洞影响也被无限放大。故便有了以下的段子：?? ?