近期，Apache Log4j2被曝出现重磅远程代码执行漏洞，刷屏了网络安全圈。通过这一漏洞，攻击者发送一条指令即可控制目标设备。据不完全统计，这一事件影响了6万+流行开源软件以及70%以上的企业线上业务系统。众所周知，Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具，被广泛应用于90%以上的Java开发平台。此次漏洞影响之所以如此深远，与软件供应链产业密不可分。在软件供应链中，一旦某个环节出现重大漏洞，整个供应链条中的参与者都会受到不同程度的影响，并加速扩散。全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，推动软件供应链产业飞速发展，这也给软件供应链攻击提供了广袤的沃土。

01.软件供应链 & 软件供应链攻击

· 什么是软件供应链？

伴随着网络和智能生活的发展，各种各样的电脑软件以及手机软件在我们的生活中扮演着越来越重要的角色。由于软件功能越来越复杂，适配平台越来越多，软件开发和运营方更倾向于使用第三方代码来实现某些专业功能，或使用第三方提供的集成开发工具进行软件的开发编译。这些第三方代码或者第三方集成开发工具由上游供应商开发，经中游分发，最后在下游被集成和使用，整体形成的链状结构被称为软件供应链。

· 什么是软件供应链攻击？

软件供应链攻击，就是攻击者在软件供应链条的上游或中游开始介入，通过感染上游制品或者破坏中游的制品分发过程，将恶意活动及其后效应向下游进行传播，对最终用户造成危害。随着互联网的快速发展，大多数软件已经成为自研模块、第三方商业软件模块以及开源软件模块的混合体，而自研模块占比逐渐降低，第三方商业软件和开源软件模块逐渐增多。在此背景下，软件供应链攻击越来越频繁。

软件供应链攻击典型案例

2019年底，PyPI社区遭到投毒，插入恶意代码的Jeilfish包可以从受感染的项目中窃取SSH和GPG密钥以及其他敏感文件。

2020年初，感染SolarWinds的软件更新包，对使用SolarWinds产品的Orion平台的供应链攻击，包括Cisco、Intel、Nvidia、VMware和众多美国联邦政府机构在内的供应链下游Orion客户均受到了不同程度的负面影响。

2021年底，开源组件Log4j2的远程代码执行漏洞被曝出，如果此漏洞被攻击者利用进行破坏活动，显然又是一次典型的软件供应链攻击。

移动应用的发展，让供应链攻击的战火快速蔓延。早在2015年，基于XcodeGhost工具开发的App为黑客控制受感染的苹果手机创造了便利。而在2018到2020连续三年间，包括“寄生推”在内的多款App插件SDK被曝存在基于“热更新”“云控”等技术手段侵害用户权益的行为。尤其是近两年在个人隐私合规监管形势趋于严格的态势下，私自获取用户的短信、通讯录、电话号码等信息的行为直接把这些第三方插件SDK和宿主App推上舆论的风口浪尖。

02.软件供应链攻击特点分析

相比于孤立地挖掘和利用漏洞，软件供应链攻击规模更大，影响也更深远。从过往案例的攻击细节不难看出，软件供应链攻击有隐蔽性强、影响面大两个基本属性。

· 隐蔽性强

众多案例表明，成功的软件供应链攻击一定会把自己的攻击属性隐藏得特别深。一方面，某些带有攻击性的代码会进行混淆处理，简单的审计无法发现其中隐藏的攻击代码；另一方面，有破坏性行为的代码可能在某个时间点通过热更新的方式进行下发；此外，攻击者如果控制了供应链软件签名的密钥，也会导致“官方”渠道更新的软件出现问题。

· 影响面大

软件供应链上下游基本呈现“一对多”的供应关系，污染上游软件制品的攻击行为会隐藏到每一个下游集成的软件中去，通过扩散效应产生严重的影响。在典型的SolarWinds供应链攻击事件中，攻击者仅通过感染Orion一款工具，就能获得使用Cisco、Intel、Nvidia、VMWare等产品的众多网络和终端设备的日志数据、存储数据以及配置数据。当软件供应链攻击发生在移动侧时，其危害的扩散效应会更为明显。2018年“寄生推”事件影响的App多达300款，潜在影响用户超过2000万；2019年杭州某科技公司的恶意SDK被至少12款App集成，影响了至少1.11亿次的APP下载用户。

03.软件供应链攻击危害分析

软件供应链攻击以更隐蔽的方式对攻击载荷进行分发和传播，理论上几乎可以带来所有传统攻击造成的危害。从近几年国内外典型事件来看，远程控制和窃取隐私是攻击者更青睐的攻击行为。

· 远程控制

将被感染的服务器或终端变成远程控制的傀儡机是最大的一种潜在危害。当攻击者顺利通过供应链向攻击目标植入后门后，既可以横向渗透，造成大规模的破坏，也可以持续监控，精准打击高价值目标。基于远程控制手段，小到企业安全，大到国家安全，都会受到不同程度的影响。

· 窃取隐私

随着移动终端上承载越来越多的短信记录、联系人信息、证件照、资金账号等个人隐私信息，隐私泄露在移动侧体现得尤为明显。攻击者只要通过攻击载荷具备对隐私信息进行读取的权限即可大量窃取用户的个人信息。

04.移动应用软件供应链安全建议

作为移动应用安全引领者的梆梆安全建议，对于软件开发和运营企业来说，移动软件的供应链管理活动应当与传统软件保持一致，在供应链软件（第三方组件和集成开发工具）的全生命周期执行好“组件维护、安全评估、风险处置、威胁监测”四个关键步骤。

· 组建维护

建立和维护好供应链软件的清单，做好以“摸清家底”为目标的资产梳理工作。建议企业通过专业软件或者表格工具维护好供应链软件的清单，详细记录供应链软件的名称、版本、用途、来源、许可信息、唯一标识和校验值等信息，并在此基础上对来源做有效收敛，尽可能只信任官方来源或者一个私有来源，最大程度地降低源头污染带来的风险。

对于移动软件来说，移动端第三方组件供应商参差不齐，存在交叉引用或依赖性复杂的现象，加上第三方组件通常会做代码混淆，导致通过包名信息识别第三方组件变得困难重重，从而出现组件统计不全的问题。梆梆安全建议使用更深层次的检测工具，如通过检查软件内部的函数调用关系建立组件的特征，可实现不受代码混淆影响的效果，也可以深层次识别交叉调用的现象。

· 安全评估

做好评估工作同样是引入供应链软件的必要条件，评估范围包括但不限于：评估第三方组件或集成开发工具是否有已知安全漏洞，评估供应链软件供应商的实力以及持续服务能力等。

· 风险处置

评估风险后，企业需要对风险进行处置，如缓解风险、接受风险或者规避风险等。对于商业组件，可以提出基线要求，通过补丁或者版本更新等方式缓解风险；对于开源组件，如果企业具备较强的技术能力，可以进行组件代码维护，进一步实现风险的缓解；当然，企业也可以选择接受风险或规避风险。

· 威胁监测

一方面，企业需要监测供应链软件供应商或者社区的变化，了解是否有新的漏洞或者补丁发布；另一方面，企业还需要监测第三方组件的变化，这一点对于形成针对供应链攻击的闭环防御尤为重要。从梆梆安全近些年对移动软件供应链攻击的研究来看，无论是在上游制作阶段进行攻击还是在中游分发阶段篡改，软件供应链攻击最终表现出来的攻击特点都是集成在App中的第三方组件的行为出现了异常，包括申请过多权限、获取过量信息、访问超权网络等。

梆梆安全建议移动App通过集成探针的方式监测这类异常，基于人工智能的技术手段，动态建立第三方组件的正常行为特征画像，然后通过监控调用栈信息的方式基于PST模型分析和判断第三方组件在运行过程中是否存在异常的行为。

随着万物互联时代的快速发展，人们的日常生活越来越依赖移动应用软件带来的便捷和体验感，与之相伴的移动应用安全问题也愈发凸显。作为开创、繁荣了移动应用安全蓝海市场的梆梆安全深耕网络安全领域十余载，通过技术、产品、解决方案和咨询服务构成“四位一体”的产研体系，致力于保护人们的互联网安全、移动安全、物联网安全、车联网安全、智能家居安全、工控安全、泛智能终端安全。目前，梆梆安全拥有超过10万家的企业及开发者用户，安全技术覆盖累计安装在10亿个移动终端上的100万+移动应用软件，通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境。