供应链攻击
一、前言
为什么会写这么一篇文章呢?是因为自己还是个小白,懂得东西确实不多,每次说到攻防的时候,问大师傅怎么打点?大师傅都会提到供应链攻击,自己听的时候确实也不太清楚是什么,但是又不太好意思继续问了,那就自己思考一下,写个介绍吧!
去网上查相关资料,全是一些高层次、讲得很泛的一些文章,在攻防中的攻击面拓展不大,所以自己在阅读了一些文章然后结合一些自己的思考写下了这篇文章。
本文中可能会参杂一下个人的错误理解,希望各位师傅批评指正。
二、基础介绍
在渗透测试中,供应链攻击(Supply Chain Attack) 是指攻击者通过入侵目标组织所依赖的第三方供应商、服务或组件(如软件、硬件、开源库、云服务等),利用其与目标之间的信任关系,间接渗透目标系统的攻击方式。这种攻击的核心是“利用信任链的薄弱环节”,而非直接攻击目标本身。
常见攻击场景:
- 软件供应链攻击
- 攻击者篡改软件开发商的正版安装包或更新程序(如CCleaner事件)。
- 入侵开源代码仓库(如npm、PyPI),植入恶意依赖包。
- 硬件供应链攻击
- 在设备生产环节植入后门(如恶意固件)。
- 通过受感染的USB设备、网络设备等物理载体传播。
- 服务提供商攻击
- 利用云服务、IT运维服务商的漏洞横向渗透客户网络。
- 通过第三方API或SDK的漏洞间接攻击目标系统。
- 水坑攻击(Watering Hole)
- 攻击目标组织常用的第三方资源(如供应商门户、行业论坛),诱导用户下载恶意文件。
上述的都是AI生成的内容,通过上述的内容,大致也可以知道,供应链攻击就是我们去打目标的软件或硬件供应商,把木马和后门写到上面,然后让目标更新软件将我们的木马或者后门保留到目标系统中。But,这对吗?这明显不对,这样做也太危险了吧!
首先是非授权渗透测试 + 恶意植入木马,这都够包吃包住好多年了!
那么在攻防战中所说的供应链攻击是指什么呢?
三、信息收集供应链攻击
在信息收集的过程中,有时候攻击者即使收集到了目标系统的一些指纹信息包括使用的框架、版本等信息,但是由于目标防范比较到位,无法进一步的采取攻击。
攻击者将目光聚集在目标企业的上下游供应商,比如IT供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,进而攻进目标企业内部。包括但不限于以下厂商
- 网页框架供应商
- 软件开发商
- 外包业务承包商
- 代理商
- 使用同一套框架和软件的厂商
攻击者在上下游企业的测试的目标不是将这些企业的系统全部拿下,而且从这些企业中获取关于攻击者目标系统的相关信息。例如:
- 通过攻击使用同一套框架和软件的厂商,获取其权限,下载其使用的框架和软件源代码,进行代码审计,再进行进一步的渗透测试;
- 攻击软件开发商,通过攻击软件开发商,攻击者能够获得多版本的软件源码,以及更新日志补丁等等,更容易进行审计测试;
- 攻击外包业务承包商,攻击者能够通过外包业务承包商所进行的工作,提交的文件获得关于目标的相关信息,包括一些系统实现的源码;
- 代理商或合作企业,攻击者能够获得关于目标企业的人员信息,有助于进一步进入目标系统后台或相关的管理界面;
在这里的攻击的主要目标就是要获取关于目标系统的信息,最主要的是获取目标系统使用的框架和软件设计的源代码,有了源代码,是否存在漏洞利用,便只是代码审计的时间问题!
四、恶意钓鱼供应链攻击
建议阅读参考文章,本人能力有限,确实不能对其作出什么非常高深的讲解。
五、软件供应链攻击
建议阅读参考文章,本人能力有限,确实不能对其作出什么非常高深的讲解。