【臺灣資安大會直擊】供應鏈安全層面大剖析，奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手

潛在的攻擊管道不斷增加，企業在關注終端、裝置與網路等內部風險之外，合作夥伴、供應商與委外的外部風險，以及各式IoT風險，都讓當前企業對於資安威脅可見性與控制能力，顯得越來越低。

對於供應鏈方面的風險與安全，在2020臺灣資安大會的供應鏈安全論壇中，奧義智慧共同創辦人叢培侃（PK）指出，近年來駭客藉此滲透的情形是越來越多，更值得國內關注的是，臺灣企業或組織遭遇的APT攻擊中，已發現有多起案例，駭客都是從供應鏈下手，令人防不勝防，這也說明了駭客相當擅長突破保護機制，因此，企業對於應變與復原必須更加重視。

供應鏈安全成近年成焦點，從供應商到軟體元件等不同層面都是挑戰

對於供應鏈安全的議題，有那些構面值得關注？叢培侃表示，一般所指的供應鏈，大可以大到公司對公司，小也可以小到軟體的元件和元件。

他進一步解釋，以公司對公司的供應鏈安全而言，企業除了做好自己的安全，當供應商可能有部分網路與企業自家的網路介接，或是有部分資料跟自家的系統做交換，不僅是造成了突破口的出現，也意謂著，「對方的安全也變成我的安全的一部分」叢培侃說。

因此，從網路上觀察供應商的外在表現，建立資安評核標準，評估對方的資安成熟度，就是很具挑戰性的課題，他表示，現在國內企業正慢慢開始意識到這樣的問題，像是現在竹科大廠都在做上下游供應鏈資安評鑑，這是很好的一件事。

進一步來看，各個產業都有自己的供應鏈體系要面對，舉例來說，以政府單位而言，包含從屬機關，以及各部會專屬的內外網，包括健保、警政、外交可能都有自己的VPN網路環境，還有各式交換系統委外開發；而以高科技業而言，包括上下游供應商、協力廠商，還有實例是新被併購的公司有資安風險，而影響到併購者，因此現在創業投資（Venture Capital，VC）或大企業在併購公司時，資安也會變成評估時的一大項目；以金融業而言，包括各地區分行、聯徵、SWIFT與ATM；至於電子商務的面向則是更多，包括物流、金流、客服、簡訊、倉儲與委外開發等。因此，各領域是否有辦法盤點這些守備範圍，就是一件重要的事。

擴展守備範圍，除了供應鏈評核，軟體物料清單也將成因應重點

在公司對公司的供應鏈安全之外，不同層次的軟體供應鏈元件安全，也是近年關心的一大焦點。例如，單從原始碼部分而言，就有安全破口存在，叢培侃表示，有時一些程式碼，可能從網路或從Stack overflow技術問答論壇網站，或Pastebin程式碼分享網站複製、貼上而來，但裡面是否被摻雜了什麼，或是存在弱點，使用者在第一時間很難知道；又或者是從教科書上直接抄下一段程式碼，但他提醒，一般教科書上最主要不是教你寫出安全程式碼，只是教你如何去實作這個功能，因此其實不具安全性。

而在原始碼之後，還包括版本控制（Version control）、編譯器（Compiler）、連結器（Linker）到執行檔（Executables）的過程，以及後續CI、更新部署，再到執行檔。而這些開發環節，其實也都存在供應鏈攻擊的風險，並有不少攻擊實例。

例如，駭客即便無法修改原本的程式碼，但從第三方程式庫（Library）下手，在2019年的Ruby_Strong_passward Backdoor，就是駭客將後門放在Ruby密碼強度檢查的程式庫程式碼（Liberay code）當中；在Compiler的環節，2015年曾發生的XcodeGhost事件，駭客將蘋果開發工具Xcode植入惡意程式碼，並散布到雲端空間與論壇，竟導致多款知名App都受影響；在Executables的環節，像是2017年CCleaner遭植入後門，攻擊者非法修改CCleaner.exe binary，並植入一個2階段的後門程式；還有2019年華碩筆電的Live Update更新伺服器遭駭等。這些事件，已經顯示了駭客在不同階段都有可利用的方式。

面對這樣的威脅，叢培侃強調了軟體物料清單（Software Bill of Materials，SBOMs）的重要性。因為有很多遭受攻擊的案例，是第三方程式庫（Library）有問題，但該企業卻沒法即時修正Binary（二進位包），原因在於，他們根本不知道Binary裡面用了那些第三方的元件，也不清楚這些元件使用的版本。

談到物料清單（Bill Of Material，BOM），對於電子產業興盛的臺灣而言，相信不少人都感到熟悉，但這次提到的軟體物料清單，比較少人關注。我們過去雖也曾聽資安專家提及，因應系統開發時第三方套件出現弱點，最好要建立第三方套件清單，並做到盤點清冊的關聯，但這樣的提醒仍在少數。

叢培侃在說明SBOMs的議題時，指出這樣的觀念在之前就已受到討論。在2014年，美國曾經立法提案，也就是The Cyber Supply Chain Management and Transparency Act of 2014，要求政府機關為其購買的任何新產品需取得軟體BOM表，雖然當時法案沒有通過，但叢培侃認為，這樣的觀念相當不錯，並給了後續IoT相關法案有很大的啟發，其他相關法案也正慢慢將這樣的概念放進去。

不論如何，叢培侃強調，軟體元件、廠商等供應鏈錯綜複雜，因此突破口都需要持續風險控管，而供應鏈評核，以及軟體原物料管理，將是企業關注的重點。

針對臺灣的APT攻擊中，已有不少是採供應鏈攻擊手法，包括偽裝合法GCB、檔案加密系統等

供應鏈安全問題在近年持續受關注，臺灣企業組織也有遭受這樣的攻擊嗎？叢培侃給出了答案，臺灣已有不少遇害實例，根據奧義自身的經驗，近一年來，鎖定臺灣企業與組織的APT攻擊中，他們挑出具代表性，且只有少數廠商有發出警告的案例，當中就有相當高比例的事件，都與不同程度的供應鏈有關。

在這次議程上，叢培侃特別挑出了8起針對臺灣企業或組織的APT攻擊，都是在這一年多內發生，並具代表性的最新威脅，來說明他們關注到的攻擊趨勢，值得注意的是，當中有6起事件都與不同程度的供應鏈安全有關，包括偽裝成GCB合法軟體、更新程式與檔案加密系統等。

例如，2019年1月針對政府產業的攻擊，奧義稱之為Lateral Movement Master。這是利用國內政府單位會導入政府共通組態基準（GCB），以規範資通訊設備的一致性安全設定，駭客當時則偽裝成合法程式FGCBUpdater.exe，並利用GPO來派送；2019年4月鎖定科技與金融業的攻擊，他們稱之為Cobalt Strike Fake Certificaties，這是華碩更新伺服器遭駭的後續，他們發現有潛在的攻擊行動，是有攻擊者在祕密製作看似Live Update的程式，但裡面卻是滲透測試工具Cobalt Strike的程式碼；2019年5月針對政府與科技業的華碩Asus WebStorage事件，駭客透過入侵華碩雲端儲存服務的軟體更新服務，作為下載Plead惡意程式的手法。

此外，還包括2019年8月針對政府的You Can't See Me，2019年針對科技業與製造業的Semichimera等，以及2020年4月還發生TFG Hijacking與OWLProxy攻擊，前者是透過組織單位使用的加密軟體埋放後門，後者會利用惡意程式在受害主機上架HTTP伺服器。顯然這些攻擊實例，已經顯示出，駭客會將攻擊延伸到相關目標供應鏈的廠商或軟體。叢培侃強調：「近年駭客除了直接攻擊使用者或企業，現在更開始嘗試從供應鏈體系下手，這是有明顯增加的趨勢。」

剖繪駭客攻擊手法與共通特性，可作為檢視企業安全的參考

對於此一攻擊態勢，叢培侃在會中特別說明了奧義在此的分析，像是這些攻擊是否有些共通性存在，讓企業可以更了解這類攻擊的特性。

關於攻擊者的身分，叢培侃表示，以臺灣常見的APT族群而言，主要是與中國有關的WaterBear、Winnti Group、APT 27與APT 10，這些族群都已經活躍了10年之久。他笑著說：「這些針對我們的朋友已經跟著我們10年，研究了我們10年，陪伴了我們10年，提供了天然的養分讓我們研究，這也造就臺灣現在有如此蓬勃的資安新創產業。

在攻擊手法的共通性方面，大量使用合法簽章或無檔案式攻擊，最值得關注。叢培侃強調，關於程式碼的簽章驗證，在今日已經不具顯著的參考性，他認為，這對於現在駭客來說，已經沒有任何門檻；而在無檔案攻擊上，駭客使用Powershell、WMI已經相當常見，因此企業無法用傳統防毒來阻擋這樣的APT攻擊。

而且，VPN是駭客主要侵入管道之一，叢培侃指出，許多案例駭客都是從VPN進入，或者是駭客「幫」單位裝一個VPN，像是SoftEther VPN等。他表示，普遍而言，企業不會允許同仁安裝SoftEther VPN這樣的工具，因此，企業是否有辦法能盤點出這樣的狀況，或是其他不必要的程式，是值得關注的一件事。

叢培侃並提醒，這類駭客攻擊主要以竊取資料為目的，擅長內網滲透，平均一周內可拿下企業Active Directory（AD），使用單位合法程式攻擊，善於偽裝，而且潛伏期長，當一個單位發現有攻擊活動，通常會有連鎖反應，其他受害單位也會在這段時間遭受攻擊。

特別的是，他們將這些攻擊案例套用到MITRE ATT&CK，以觀察並分析駭客常用的手法。根據他們的統計，在這些案例中最常見的10種駭侵技術，前三名分別是WebShell、Phishing、Credential Dumping，其他依序是Connection Proxy、PowerShell、Logon Autostart Execution、Masquerading、User Discovery、Exploit Public-Facing Application與Dll Side-Loading。

同時，他們也以產業來畫分，例如，政府機關常見攻擊，包括Exploit Public-Facing Application、WebShell、Phishing Email與VPN；此外，像是金融與高科技業的常見攻擊，駭客都會利用滲透測試工具Cobalt Strike來下手，表示遇到管理嚴謹的產業與環境，駭客也會使用較進階的工具。

另外，他們也將這些技術手法放在ATT&CK戰術對應表上呈現，也就是ATT&CK矩陣的12大階段，叢培侃說明，這時可以看到一些特別的現象，例如，駭客在前面幾個階段，包括在執行（Execution）、持續潛伏（Persistence）、權限提升（Privilege Escalation），需結合多種滲透技術，但到了後面幾個階段，駭客使用的技術手法相對要少上許多。

對此，叢培侃進一步解釋，他說：「駭客在拿到灘頭堡之前，在躲避相關保護需要時，使用較多的技術，等到防禦機制突破後，接下來竊取資料與橫向移動就容易許多。」

因此，他提醒，企業往往在資安投資上有不平衡的狀況，但由於駭客擅長突破保護機制，因此應變與復原更是格外重要。而且，由於駭客平均一周內可成功進入企業內網，因此企業需要知道的是，需要比駭客能更快反應。