中国政企软件供应链攻击 现状分析报告 奇安信终端安全实验室 奇安信威胁情报中心 奇安信安全监测与响应中心 2017年9月 研究背景 Fireb all、暗云 III、Petya、异鬼 II、Kuzzle、XShellGhost ……最近三个月以来，通过合 法软件传播的恶意软件越来越多， 正在全球范围内迅速蔓延开来， 微软将其称之为 “ Software Supply Chain Attack ” ，即“软件供应链攻击” 。 这类攻击最大的特点就是获得了“合法软件”的保护，因此很容易绕开传统安全产品的 围追堵截，进行大范围的传播和攻击。 它们更青睐哪些类型的“合法软件”？又是如何借用“合法软件”身份的？ 这些“合法软件”在政企机构中的应用情况如何？哪些行业是高危群体？ 防范这类攻击的要点是什么？政企机构 该如何规避风险？ …… 《中国政企软件供应链攻击现状分析报告 》将为您一一解答。 摘 要  软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、 不 自律、漏洞等问题，在合法软件 下载安装 、更新维护 、信息推送 的过程中，利用用户与 软件供应商之间的信任关系，成功绕开传统安全产品的围追堵截。  合法软件包括安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制 软件、图形图像等多种类型。这些软件中，既包含付费软件，也包含免费软件。政企机 构中的免费软件，大多是员工通过互联网渠道自行下载安 装的。  政企机构中， 办公软件的安装量最高， 占比为 30.1%； 其次是休闲娱乐软件， 占比为 14.6%； 行业软件（特定行业使用的专用软件）排 名第三，占 14.4%。  政企机构中， 安全软件的覆盖率最高， 高达 95.2%； 其次是休闲娱乐软件， 占比为 45.2%； 搜索下载软件排名 第三，占比为 37.7%。  在政企机构 使用量最多的 400款软件中，免费软件的 安装量高达 60.2%，付费软件的安 装量则为 39.8%；免费软件的覆盖率 为79.5%，付费软件的覆盖率 则高达 95.2%。  根据不同行业中各类 软件的实际使用情况，建议政府单位特别关注 办公软件 、定制软件 的安全问题，建议金融单位特别关注行业软件、搜索下载软件的安全问题，建议能源单 位特别关注 办公软件 、行业软件 的安全问题，建议大型企业特别关注 休闲娱乐软件 的安 全问题，建议互联网公司关注所有软件类型的安全问题。  要想规避软件供应链攻击引发的风险，建议政企机构掌控全网终端的软件分布情况， 选 择安全软件下载渠道， 把控软件升级通道， 加强分析和感知互联网软件的网络通信行为 的能力，并提升对软件供应链攻击事件的应急响应能力。 关键词： 软件供应链攻击 软件安装量 软件覆盖率 目 录 第一章 软件供应链攻击事件分析 ................................ ................................ ................................ . 1 一、 攻击定义 ................................ ................................ ................................ ........................... 1 二、 典型事件 ................................ ................................ ................................ ........................... 1 事件1、播放器挂马：藏在正规客户端背后 ................................ ................................ ........... 1 事件2、域影：运营商内容被劫持 ................................ ................................ ........................... 2 事件3、hao123下载器：外包团队引发的血案 ................................ ................................ ....... 2 事件4、流行软件集体挂马：页游广告背后的杀机 ................................ ................................ 3 事件5、Fireball：“外销”的流氓软件 ................................ ................................ ..................... 4 事件6、暗云III：被“主动”放行的木马 ................................ ................................ .................. 4 事件7、Petya：混入升级通道的勒索病毒 ................................ ................................ .............. 5 事件8、大规模软件升级劫持 ：针对升级的网络 “投毒” ................................ ........................ 5 事件9、擒狼：下载站捆绑与网站挂马并用 ................................ ................................ ........... 6 事件10、异鬼II：藏在刷机软件中的流氓 ................................ ................................ .............. 7 事件11、Kuzzle：假冒安全软件的病毒 ................................ ................................ ................... 7 事件12、XshellGhost ：嵌入正规软件的后门 ................................ ................................ .......... 8 三、 共性分析 ................................ ................................ ................................ ........................... 8 借用软件类型 ................................ ................................ ................................ ............................ 9 利用角度分析 ................................ ................................ ................................ ............................ 9 潜入阶段分析 ................................ ................................ ................................ .......................... 10 攻击方法分析 ................................ ................................ ................................ .......................... 10 第二章 政企机构软件应用现状分析 ................................ ................................ ........................... 12 一、 软件应用情况整体分析 ................................ ................................ ................................ ... 12 不同类型软件的应用现状分析 ................................ ................................ ............................... 12 不同付