软件供应链攻击风险分析及应对措施
发布时间:2021-01-20 00:11
随着软件供应链攻击逐渐增多,认识、分析进而防御供应链攻击,提高供应链攻击风险防范意识,对于世界各地个人、企业甚至国家都是十分必要和迫切的。介绍了软件供应链不同环节的攻击,分析了具体的软件供应链攻击事件,总结了软件供应链攻击的特点,提出了我国应对软件供应链攻击的措施与建议。
【文章来源】:技术与市场. 2020,27(06)
【文章页数】:4 页
【部分图文】:
供应链攻击过程
Xshell是一个强大的安全终端模拟软件,其官方NetSarang系列软件的关键网络通信组件nssock2.dll被植入了恶意代码(见图2),攻击者利用多层加密程式码隐藏后门,用户机器一旦启动软件,将会加载组件中的恶意代码,将主机的用户信息通过后门远程访问功能中的C&C服务器域名生成算法DGA产生的DNS域名请求传送至黑客的远程命令控制服务器[8]。国内受影响的用户或机器数量在十万级别,同时,数据显示一些知名的互联网公司有大量用户受到攻击,主机相关的信息遭到泄露。2.2.2 XcodeGhost事件
Xcode是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X和iOS应用程序的最主流工具。XcodeGhost病毒的感染原理是开发者在使用非官方下载的Xcode工具开发app时,会向正常的苹果app中植入恶意代码,并通过 CoreService 库文件进行感染。用户在下载安装app后,会被恶意代码恶意远程控制,其攻击过程见图3。XcodeGhost感染了AppStore下载量最高的5 000个app中有76款app,其中不乏大公司的知名应用,受这次事件影响的用户数超过1亿[9]。2.2.3 勒索软件变种NotPetya事件
【参考文献】:
期刊论文
[1]程序逆向分析在软件供应链污染检测中的应用研究综述[J]. 武振华,张超,孙贺,颜学雄. 计算机应用. 2020(01)
[2]ICT供应链安全风险及典型事件分析[J]. 李璐,倪平,何昊坤,王梓伊. 国防科技工业. 2019(09)
[3]从Struts2漏洞看办公内网软件供应链安全管理[J]. 冯兆文. 保密科学技术. 2019(05)
[4]破阵:对国内外网络供应链攻击的思考[J]. 杨勇. 中国信息安全. 2018(11)
[5]软件供应链安全现状与对策建议[J]. 祝国邦,陈洁. 中国信息安全. 2018(11)
[6]美国网络安全审查制度研究及对中国的启示[J]. 李青. 国际安全研究. 2017(02)
[7]软件安全漏洞检测技术[J]. 李舟军,张俊贤,廖湘科,马金鑫. 计算机学报. 2015(04)
[8]美国政府IT供应链安全政策和措施分析[J]. 左晓栋. 信息网络安全. 2010(05)
硕士论文
[1]软件供应链污染机理与防御研究[D]. 周振飞.北京邮电大学 2018
本文编号:2987960
【文章来源】:技术与市场. 2020,27(06)
【文章页数】:4 页
【部分图文】:
供应链攻击过程
Xshell是一个强大的安全终端模拟软件,其官方NetSarang系列软件的关键网络通信组件nssock2.dll被植入了恶意代码(见图2),攻击者利用多层加密程式码隐藏后门,用户机器一旦启动软件,将会加载组件中的恶意代码,将主机的用户信息通过后门远程访问功能中的C&C服务器域名生成算法DGA产生的DNS域名请求传送至黑客的远程命令控制服务器[8]。国内受影响的用户或机器数量在十万级别,同时,数据显示一些知名的互联网公司有大量用户受到攻击,主机相关的信息遭到泄露。2.2.2 XcodeGhost事件
Xcode是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X和iOS应用程序的最主流工具。XcodeGhost病毒的感染原理是开发者在使用非官方下载的Xcode工具开发app时,会向正常的苹果app中植入恶意代码,并通过 CoreService 库文件进行感染。用户在下载安装app后,会被恶意代码恶意远程控制,其攻击过程见图3。XcodeGhost感染了AppStore下载量最高的5 000个app中有76款app,其中不乏大公司的知名应用,受这次事件影响的用户数超过1亿[9]。2.2.3 勒索软件变种NotPetya事件
【参考文献】:
期刊论文
[1]程序逆向分析在软件供应链污染检测中的应用研究综述[J]. 武振华,张超,孙贺,颜学雄. 计算机应用. 2020(01)
[2]ICT供应链安全风险及典型事件分析[J]. 李璐,倪平,何昊坤,王梓伊. 国防科技工业. 2019(09)
[3]从Struts2漏洞看办公内网软件供应链安全管理[J]. 冯兆文. 保密科学技术. 2019(05)
[4]破阵:对国内外网络供应链攻击的思考[J]. 杨勇. 中国信息安全. 2018(11)
[5]软件供应链安全现状与对策建议[J]. 祝国邦,陈洁. 中国信息安全. 2018(11)
[6]美国网络安全审查制度研究及对中国的启示[J]. 李青. 国际安全研究. 2017(02)
[7]软件安全漏洞检测技术[J]. 李舟军,张俊贤,廖湘科,马金鑫. 计算机学报. 2015(04)
[8]美国政府IT供应链安全政策和措施分析[J]. 左晓栋. 信息网络安全. 2010(05)
硕士论文
[1]软件供应链污染机理与防御研究[D]. 周振飞.北京邮电大学 2018
本文编号:2987960
本文链接:https://www.wllwen.com/guanlilunwen/gongyinglianguanli/2987960.html
