当前位置:首页 > 报告详情

毒酒软件供应链混合样本攻击和防御_吴鹤意.pdf

上传人: 张** 编号:153076 2024-01-15 32页 9.48MB

1、毒酒:软件供应链混合样毒酒:软件供应链混合样本攻击和防御本攻击和防御Poisoned Wine:Software Supply Chain Mixed Sample Attack and Defense个人简介吴鹤意,东南大学网络安全专业毕业,拥有丰富的安全工作经验,参与过多个中央部委级网络安全体系建设以及攻防演练和实战,先后在华为2012实验室和深信服创新研究院担任安全技术专家,从事AI安全,数据安全,云安全,安全开发,情报狩猎等领域的研究和产品端到端落地。在国内外知名网络安全会议发表演讲,例如HITB,BSides,看雪SDC,XCon,Geekpwn,FB AI安全讲师等,参与了国内外多

2、个安全标准的编制(IEEE P2841-AI安全相关评估标准,国产化操作系统安全等),发表了多篇EI/SCI论文和专利,拥有国内外多项安全证书(CISP,CCSK,CDPSE等),给监管部门提交过若干0day漏洞,国产化操作系统通用安全问题和高级攻击狩猎溯源报告。本次议题内容仅代表个人观点1、背景介绍背景介绍2、混合样本思路混合样本思路3、测试效果测试效果4、防御手段防御手段混合样本指的是:跨平台的恶意样本。此类样本风险涉及软件供应链,之前就存在,例如通过在L i n u x 平台上运行w i n 平台的恶意软件,在w i n 平台上通过WS L 运行l i n u x 平台的样本,通过a n

3、 b o x 在l i n u x 平台上运行a n d r o i d 应用。也有人研究过相关的问题,例如右边所示:不过由于这类场景之前出现的不多,所以并未引起大家足够的关注。相关的厂商对此也不是很积极。包括学术界机构也发表过此领域的研究包括学术界机构也发表过此领域的研究,例如如下所示例如如下所示:相关的攻击成功率如下所示相关的攻击成功率如下所示:UOS简介但是目前情况发生了变化,在中国,近些年,越来越多支撑跨平台的操作系统和产品进入大家的日常工作中。例如UOS,目前在中国已经有了可观的使用率(市场占有率超过70%),而且支持win和android平台的应用在linux上运行。例如如下所示:

4、在在l i n u xl i n u x 平台上运行平台上运行w i nw i n 平平台应用台应用 U O S 在l i n u x 平台上运行a n d r o i d 平台应用,不仅软件厂商,包括中国的一些CP U 生产商也在积极开发相关功能,例如龙芯就支持硬件二进制翻译能力,如右所示:龙芯支持硬件二进制翻译,所以以前被大家忽视的软件供应链跨平台样本问题是时候引起大家的关注了。龙芯简介龙芯简介我们在三个中国国内都具有可观使用量的操作系统上进行了测试。使用了w i n e 和两个w i n 平台上知名的勒索恶意软件:Wa n n a Cr y 和Wa n n a R e n。三个平台和相关

5、配置如下所示:供应商版本版本防御手段机(专业版1 0 5 0)终端安全1 0.0阿里云位 U E F I 版主机安全华为云主机安全目前虽然l i n u x 平台上的样本相比w i n 平台还不是很多,但是攻击者可以通过上述的思路,迅速利用已有的大量样本,快速进行攻击,造成严重的破坏测试结果汇总如下测试结果汇总如下:供应商其他样本防御告警机攻击成功攻击未成功部分成功(占比1/4)文件隔离阿里云攻击未成功攻击成功部分成功(占比1/4)文件落盘和后缀告警华为云攻击成功攻击成功部分成功(占比1/4)暴力破解华为云测试结果举例:WannaCry攻击共加密文件160个,主机安全告警暴力破解文件加密情况文

6、件加密情况其他样本为随机抽取的12个真实win平台样本加密文件统计加密文件统计主机安全告警主机安全告警文件加密情况文件加密情况其他样本运行举例阿里云测试结果举例其他样本运行举例阿里云测试结果举例:Wa n n a Cr yWa n n a Cr y 攻击共加密文件攻击共加密文件1 71 7 个个,主机安主机安全告警暴力破解全告警暴力破解文件加密情况文件加密情况加密文件统计加密文件统计主机安全告警主机安全告警其他样本运行举例其他样本运行举例U OSU OS 真机测试结果举例真机测试结果举例:攻击成功示例攻击成功示例Wa n n a C r yWa n n a C r y 攻击共加密文件攻击共加密

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了软件供应链混合样本攻击和防御的问题。作者吴鹤意,毕业于东南大学网络安全专业,有丰富的安全工作经验,曾在华为2012实验室和深信服创新研究院担任安全技术专家。文章指出,混合样本攻击涉及软件供应链,之前较少引起关注,但近年来随着支撑跨平台的操作系统和产品在中国日益普及,此类攻击风险也随之增加。例如,UOS操作系统在中国市场占有率超过70%,支持Win和Android平台应用在Linux上运行。 文章提出了基于TPM EDR的防御方案,结合可信计算和端到端安全,提高防御能力。TPM EDR包括UEFI TPM Agent和Linux TPM Agent,以及可信启动方案、应用程序白名单、基于路径的访问控制等功能。作者在三个中国国内具有可观使用量的操作系统上进行了测试,使用了两个Win平台上知名的勒索恶意软件WannaCry和WannaRen,结果显示部分样本在Linux平台上运行成功并生效,WannaCry和WannaRen在一定程度上逃过了主机安全的防御。 为应对这一威胁,作者提出了TPM EDR这一概念,通过将可信计算与EDR结合,提供原生的安全防御能力。TPM EDR效果演示显示,内存消耗7M,CPU 3%以内。可信管理平台界面概览、可信代理程序界面概览、可信代理程序启动校验及失败情况、对未知可执行文件拦截或告警、阻止对受保护的文件进行修改等方面均取得了良好的效果。
"如何应对软件供应链混合样本攻击?" "可信计算技术在防御跨平台恶意样本中的作用" 混合样本攻击与防御新策略"
客服
商务合作
小程序
服务号
折叠