軟件供應鏈安全需重視，微軟無心中籤署帶有惡意軟件的Netfilte驅動程序

微軟現已確認對在遊戲環境中分發的惡意驅動程序進行簽名。html

這個名爲「Netfilter」的驅動程序其實是一個rootkit，此次事件再次暴露了對軟件供應鏈安全的威脅，但此次它源於微軟代碼簽名過程當中的一個弱點。安全

「Netfilter」驅動程序是由微軟簽名的rootkit

上週，網絡安全警報系統標記了一個看似誤報，但實際上並不是如此——微軟簽名的名爲「Netfilter」的驅動程序。服務器

「從Windows Vista開始，任何在內核模式下運行的代碼都須要在公開發布以前進行靜態安全測試和簽名，以確保操做系統的穩定性。默認狀況下沒法安裝沒有Microsoft 證書的驅動程序，」網絡安全研究人員稱。markdown

第一個 C2 URL 返回一組更多的路由(URL)，由管道(「|」)符號分隔：網絡

根據網絡安全研究人員的說法，每個都有一個目的：工具

· 以「/p」結尾的 URL 與代理設置相關聯，oop

· "/s" 提供編碼的重定向 IP，測試

· 「/H?」用於接收 CPU-ID，編碼

· 「/c」提供了根證書，而且spa

· 「/v?」與惡意軟件的自我更新功能有關。

「/v?」 path 提供了指向有問題的惡意Netfilter驅動程序的URL(位於「/d3」)

該樣本有一個自我更新例程，經過hxxp://110.42.4.180:2081/v?v=6&m=將其本身的 MD5 哈希發送到服務器。

示例請求以下所示：

hxxp://110.42.4.180:2081/v?v=6&m=921fa8a5442e9bf3fe727e770cded4ab

而後服務器用最新樣本的URL進行響應，例如 hxxp://110.42.4.180:2081/d6 或者若是樣本是最新的，則返回「OK」。惡意軟件會相應地替換本身的文件。

Microsoft正在積極調查此事件，到目前爲止沒有證據代表使用了被盜的代碼簽名證書。

微軟正在調查一個在遊戲環境中分發惡意驅動程序的惡意行爲者。攻擊者經過Windows 硬件兼容性計劃提交了驅動程序進行認證，目前已暫停該賬戶並審查了他們提交的其餘惡意軟件跡象。

複雜的威脅行爲者可能會濫用錯誤簽名的二進制文件，以促進大規模的軟件供應鏈攻擊。這一特定事件暴露了合法代碼簽名過程當中的弱點，威脅行爲者利用該過程來獲取 Microsoft簽名的代碼而不損害任何證書。

軟件供應鏈攻擊成新威脅

隨着網絡威脅者找到新方法來訪問各類媒介的環境，網絡安全形勢發展更多面。在軟件供應鏈攻擊過程當中，擊者闖入並篡改複雜軟件開發供應鏈中的軟件，經過注入惡意代碼來威脅供應鏈遠端的目標，發生軟件供應鏈攻擊。這些注入的惡意代碼可用於經過獲取系統權限或直接投放惡意有效載荷或後門程序包，進一步篡改代碼。也所以保障供應鏈環節中的任何一環安全成爲關鍵。尤爲在應用軟件開發過程當中，源代碼安全關係着軟件安全更關乎數據安全。

如何保障軟件供應鏈安全?

除了警戒來自第三方公司軟件漏洞形成的網絡威脅，針對在開發軟件時引入的第三方組件及開源代碼等安全性的保障，一樣須要注意是否存在安全風險，在平常開發過程當中要：

一、提升網絡安全防範意識，制定並執行健全的安全響應機制，確保在遭受網絡攻擊時能夠迅速作出防禦措施;

二、在軟件開發過程當中，對使用到的第三方組件或代碼進行安全檢測，經過靜態代碼檢測工具及SCA、IAST等查找代碼中存在的漏洞;

三、對應用進行安全測試。經過動態應用安全測試(DAST)等方式發現軟件運行時出現的問題;

四、利用防火牆、入侵檢測、病毒防護和系統防禦等網絡安全技術實時檢測網絡安全。

參讀連接：