毒酒软件供应链混合样本攻击和防御_吴鹤意.pdf

1、毒酒：软件供应链混合样毒酒：软件供应链混合样本攻击和防御本攻击和防御Poisoned Wine:Software Supply Chain Mixed Sample Attack and Defense个人简介吴鹤意，东南大学网络安全专业毕业，拥有丰富的安全工作经验，参与过多个中央部委级网络安全体系建设以及攻防演练和实战，先后在华为2012实验室和深信服创新研究院担任安全技术专家，从事AI安全，数据安全，云安全，安全开发，情报狩猎等领域的研究和产品端到端落地。在国内外知名网络安全会议发表演讲，例如HITB，BSides，看雪SDC，XCon，Geekpwn，FB AI安全讲师等，参与了国内外多

2、个安全标准的编制（IEEE P2841-AI安全相关评估标准，国产化操作系统安全等），发表了多篇EI/SCI论文和专利，拥有国内外多项安全证书（CISP，CCSK，CDPSE等），给监管部门提交过若干0day漏洞，国产化操作系统通用安全问题和高级攻击狩猎溯源报告。本次议题内容仅代表个人观点1、背景介绍背景介绍2、混合样本思路混合样本思路3、测试效果测试效果4、防御手段防御手段混合样本指的是：跨平台的恶意样本。此类样本风险涉及软件供应链，之前就存在，例如通过在L i n u x 平台上运行w i n 平台的恶意软件，在w i n 平台上通过WS L 运行l i n u x 平台的样本，通过a n

3、 b o x 在l i n u x 平台上运行a n d r o i d 应用。也有人研究过相关的问题，例如右边所示：不过由于这类场景之前出现的不多，所以并未引起大家足够的关注。相关的厂商对此也不是很积极。包括学术界机构也发表过此领域的研究包括学术界机构也发表过此领域的研究，例如如下所示例如如下所示：相关的攻击成功率如下所示相关的攻击成功率如下所示：UOS简介但是目前情况发生了变化，在中国，近些年，越来越多支撑跨平台的操作系统和产品进入大家的日常工作中。例如UOS，目前在中国已经有了可观的使用率（市场占有率超过70%），而且支持win和android平台的应用在linux上运行。例如如下所示：

4、在在l i n u xl i n u x 平台上运行平台上运行w i nw i n 平平台应用台应用 U O S 在l i n u x 平台上运行a n d r o i d 平台应用，不仅软件厂商，包括中国的一些CP U 生产商也在积极开发相关功能，例如龙芯就支持硬件二进制翻译能力，如右所示：龙芯支持硬件二进制翻译，所以以前被大家忽视的软件供应链跨平台样本问题是时候引起大家的关注了。龙芯简介龙芯简介我们在三个中国国内都具有可观使用量的操作系统上进行了测试。使用了w i n e 和两个w i n 平台上知名的勒索恶意软件：Wa n n a Cr y 和Wa n n a R e n。三个平台和相关

5、配置如下所示：供应商版本版本防御手段机（专业版1 0 5 0）终端安全1 0.0阿里云位 U E F I 版主机安全华为云主机安全目前虽然l i n u x 平台上的样本相比w i n 平台还不是很多，但是攻击者可以通过上述的思路，迅速利用已有的大量样本，快速进行攻击，造成严重的破坏测试结果汇总如下测试结果汇总如下：供应商其他样本防御告警机攻击成功攻击未成功部分成功（占比1/4）文件隔离阿里云攻击未成功攻击成功部分成功（占比1/4）文件落盘和后缀告警华为云攻击成功攻击成功部分成功（占比1/4）暴力破解华为云测试结果举例：WannaCry攻击共加密文件160个，主机安全告警暴力破解文件加密情况文

6、件加密情况其他样本为随机抽取的12个真实win平台样本加密文件统计加密文件统计主机安全告警主机安全告警文件加密情况文件加密情况其他样本运行举例阿里云测试结果举例其他样本运行举例阿里云测试结果举例：Wa n n a Cr yWa n n a Cr y 攻击共加密文件攻击共加密文件1 71 7 个个，主机安主机安全告警暴力破解全告警暴力破解文件加密情况文件加密情况加密文件统计加密文件统计主机安全告警主机安全告警其他样本运行举例其他样本运行举例U OSU OS 真机测试结果举例真机测试结果举例：攻击成功示例攻击成功示例Wa n n a C r yWa n n a C r y 攻击共加密文件攻击共加密