Wussten Sie, dass laut Verizons Datenleck im Jahr 2022 Untersuchungsbericht, Angriffe auf die Lieferkette für 62 % der Systemeinbruchvorfälle verantwortlich waren?
Die Daten zeigen das Angriffe auf die Lieferkette gelten als eine der effektivsten Methoden, Unternehmen zu kompromittieren, da sie auf die schwächsten Glieder der Sicherheitskette abzielen. Angriffe auf die Lieferkette beginnen in der Regel mit der Kompromittierung eines Lieferkettenpartners, beispielsweise eines Händlers, Entwicklers oder Lieferanten.
Sobald Angreifer in ein Unternehmen eingedrungen sind, können sie vertrauliche Daten stehlen, Systeme beschädigen oder sogar ganze Unternehmen lahmlegen. In diesem Blog untersuchen wir einen der jüngsten Vorfälle: einen Angriff auf die Lieferkette, bei dem mehrere Python-Entwickler außer Gefecht gesetzt wurden.
Der Supply-Chain-Angriff: Erklärt
Klonen eines beliebten Tools
Mehrere Python-Entwickler, darunter der Betreuer von Top.dd, wurden infiziert durch Informationsdiebstahl Malware, nachdem ein bösartiger Klon eines äußerst beliebten Tools heruntergeladen wurde.
Das Tool wird aufgerufen Colorama, ein Dienstprogramm, das ANSI-Escape-Zeichenfolgen (ein Standard für In-Band-Signalisierung zur Steuerung der Cursorposition, Schriftart, Farbe und anderer Optionen auf Videotextterminals und Terminalemulatoren) unter Windows zum Laufen bringt und mehr als 150 Millionen Mal heruntergeladen wurde.
Das Angreifer Software mit Schadsoftware einbetten, die unter den Benutzern verbreitet wird. Auf diese Weise infiziert die Schadsoftware das System des Benutzers. Dieser Schritt ist vergleichbar mit der Herstellung eines gefälschten Produkts, das identisch mit dem Original aussieht, aber schädliche Komponenten enthält.
Einrichten einer gefälschten Spiegeldomäne durch Typo Squatting
Um ihren Supply-Chain-Angriff auszuführen, klonten die Hacker Colorama, fügten Schadcode ein und platzierten die Schadversion auf einer gefälschten Mirror-Domain. Diese nutzte Typo-Squatting (Registrierung einer Domain, die einer legitimen Domain sehr ähnlich sieht), um Python-Entwickler dazu zu bringen, sie mit dem legitimen Mirror „files.pythonhosted.org“ zu verwechseln.
Wenn die legitime Domäne beispielsweise „example.com“ lautet, könnten die Angreifer „example1e.com“ oder einfach „example.co“ registrieren und so Benutzer ausnutzen, die die URL falsch eingeben.
Entführung hochkarätiger Konten
Die Angreifer erstellten unter ihren Konten schädliche Repositories, um das Schadsoftwarepaket zu verbreiten und gleichzeitig hochkarätige Konten zu kapern. Dazu gehörte auch das GitHub-Konto „editor-syntax“, das die Such- und Entdeckungsplattform Top.gg für Discord, eine Community mit über 1,700,000 Mitgliedern, verwaltet.
Mit dem Konto „editor-syntax“ führten die Eindringlinge einen bösartigen Commit im Repository top-gg/python-sdk durch, fügten Anweisungen zum Herunterladen des bösartigen Klons von Colorama hinzu und starteten bösartige GitHub-Repositories um ihre Sichtbarkeit zu erhöhen.
Das Konto wurde über gestohlene Cookies gehackt. Diese nutzten die Angreifer, um die Authentifizierung zu umgehen und ohne Kenntnis des Passworts schädliche Aktivitäten durchzuführen. Dadurch wurden mehrere Mitglieder der Top.gg-Community kompromittiert. So konnten sie beispielsweise das Repository eines beliebten Softwareprojekts so verändern, dass es eine Abhängigkeit enthält, die den Schadcode anstelle des legitimen Pakets herunterlädt.
Schadcode verbergen
Um den Schadcode in Colorama zu verbergen, fügten die Cyberkriminellen zahlreiche Leerzeichen ein und verdrängten den Code-Ausschnitt so aus dem Bildschirm, dass er bei einer schnellen Überprüfung der Quelldateien nicht sichtbar war. Darüber hinaus legten sie fest, dass der Code bei jedem Import von Colorama ausgeführt wird. Diese Technik ähnelt dem Verstecken des Kleingedruckten in einem Vertrag, indem man es aus dem sichtbaren Bereich verschiebt und hofft, dass niemand nach unten scrollt, um es zu lesen.
Infektionsverfahren
Nachdem der Schadcode ausgeführt wurde, wurde der Infektionsvorgang mit mehreren zusätzlichen Schritten fortgesetzt, beispielsweise dem Ausführen und Herunterladen von zusätzlichem Python-Code und dem Abrufen der erforderlichen Bibliotheken bei gleichzeitiger Herstellung der Persistenz.
Schließlich wurden die Systeme der Entwickler mit Schadsoftware infiziert, die Tastatureingaben aufzeichnen und Daten aus verschiedenen Browsern stehlen konnte, darunter Chrome, Edge, Brave, Opera, Vivaldi und Yandex, Discord, Kryptowährungs-Wallets, Telegram-Sitzungen, Computerdateien und Instagram. Dies ist vergleichbar mit einem Einbrecher, der in ein Haus einbricht, Räume (Anwendungen) durchsucht und wertvolle Gegenstände (Datenanmeldeinformationen) stiehlt.
Schwachstellen bei der Code-Signierung und Maßnahmen zur Schadensbegrenzung
1. Zertifikatsdiebstahl
Cyber-Angreifer zielen Co-Design Zertifikate durch verschiedene Mittel, einschließlich Phishing, Social Engineering oder Kompromittierung CAs (Zertifizierungsstellen). Sobald der Angreifer ein gestohlenes Bescheinigung, können sie Schadsoftware signieren und so ahnungslosen Benutzern ihre Legitimität beweisen.
Entwickler müssen starke Zertifikatsverwaltung Praktiken zur effizienten Minderung dieses Risikos, darunter sichere Speicherung, Zertifikatsprüfungen und Zwei-Faktor-Authentifizierung.
Angenommen, es gibt ein Unternehmen namens Fintech Innovations Inc.; die sichere Speicherung von Zertifikaten verhindert unbefugten Zugriff auf seine Code-Signatur-Zertifikate. Das Unternehmen führt außerdem regelmäßige Zertifikatsprüfungen durch, um sicherzustellen, dass jedes Zertifikat bestimmungsgemäß verwendet wird. Darüber hinaus nutzt es für den Zertifikatszugriff eine Zwei-Faktor-Authentifizierung, die das Risiko eines unbefugten Zugriffs durch kompromittierte Anmeldeinformationen deutlich reduziert.
2. Kompromittierte Build-Umgebung
Angriffe auf die Lieferkette zielen häufig auf die Umgebungen von Softwareentwicklungsunternehmen ab. Durch die Kompromittierung dieser Systeme können sie Schadcode in das Endprodukt einschleusen. Daher müssen Entwickler robuste Sicherheitsmaßnahmen für die Umgebungen ergreifen, darunter kontinuierliche Überwachung, sichere Zugriffskontrollen und Schwachstellenanalysen.
Die oben genannte Organisation implementiert eine kontinuierliche Überwachungslösung, die Echtzeitaktivitäten in ihren Entwicklungs- und Build-Umgebungen verfolgt. Darüber hinaus setzt sie strenge Zugriffskontrollen für ihre Build-Umgebungen durch. Fintech Innovations Inc. führt außerdem regelmäßig Schwachstellenanalysen der Build-Umgebung durch, um potenzielle Schwachstellen zu beheben und zu identifizieren.
Best Practices für sichere Code-Signierung
Um das zu mildern Risiken der Code-Signierung und zum Schutz vor Angriffen auf die Lieferkette müssen Unternehmen Folgendes implementieren: Best Practices:
-
Sichere Schlüsselverwaltung
Organisationen müssen die privaten Schlüssel schützen, die für Codesignatur, um ihre sichere Speicherung und den Zugriff für den autorisierten Benutzer zu gewährleisten. Sie müssen eine starke Verschlüsselung verwenden, HSMs (Hardware-Sicherheitsmodule)und regelmäßige Schlüsselrotation, um die Auswirkungen eines kompromittierten Schlüssels zu minimieren. Google ist beispielsweise ein bekanntes Unternehmen, das sicheres Schlüsselmanagement für Codesigning verwendet und so Cyber-Angreifer in Schach hält.
-
CLM oder Certificate Lifecycle Management
Organisationen müssen eine robuste Struktur für die Ausstellung, den Widerruf und die Erneuerung von Zertifikaten etablieren. Bei der Erneuerung oder Anforderung von Zertifikaten müssen sie strenge Verifizierungsprozesse implementieren. Darüber hinaus müssen sie die verwendeten Zertifikate überwachen und prüfen sowie abgelaufene oder kompromittierte Zertifikate umgehend widerrufen.
-
Build-Systemsicherheit
Unternehmen müssen außerdem die Sicherheitsmaßnahmen rund um die Gebäudeumgebung verstärken, darunter Angriffserkennungssysteme, sichere Zugangskontrollen und kontinuierliche Überwachung. Sie müssen Build-Tools und Abhängigkeiten regelmäßig aktualisieren und patchen, um bekannte Schwachstellen zu beheben.
-
Integrität der Lieferkette
Unternehmen müssen während des gesamten Lebenszyklus der Softwareentwicklung strenge Kontrollen implementieren, darunter Kontinuierliche Integration und Bereitstellung (CI/CD) Pipelines, sichere Code-Repositorys und regelmäßige Sicherheitsüberprüfungen. Sie müssen auch die Integrität von Bibliotheken und Komponenten von Drittanbietern überprüfen, bevor sie diese in Softwareprojekte integrieren.
-
Benutzerbewusstsein und Aufklärung
Sie müssen die Benutzer über die Bedeutung der Code-Signierung und die Überprüfung der Authentifizierung der Software aufklären. Sie müssen außerdem das Bewusstsein für potenzielle Risiken und gängige Angriffsmethoden wie Phishing-Versuche oder Social Engineering schärfen.
Fazit
Der jüngste Anstieg von Angriffen auf die Lieferkette, wie beispielsweise der ausgeklügelte Angriff auf Python-Entwickler, unterstreicht eine entscheidende Schwachstelle in unserem digitalen Ökosystem. Unternehmen können umfassende Strategien implementieren, um diese Risiken zu minimieren – von der sicheren Speicherung von Zertifikaten und regelmäßigen Audits bis hin zu kontinuierlicher Überwachung und strengen Zugriffskontrollen in Build-Umgebungen.
Darüber hinaus ist die Übernahme bewährter Verfahren zur sicheren Code-Signierung von entscheidender Bedeutung, um die Abwehr dieser heimtückischen Bedrohungen zu stärken. CodeSign Secure stellt sicher, dass keine Manipulationen durch Unbefugte erfolgen und dass die veröffentlichte Software vom ursprünglichen Herausgeber stammt. Es schützt Sie außerdem vor Angriffen auf die Lieferkette.
