更新下载服务器遭滥用事件频传，防御思维也需要跟着转变最新消息

关于华硕的软件更新服务器遭骇，这样的问题是否有前例？事实上，这种更新机制遭骇客利用已经不是头一遭。

例如，2013年韩国防毒软件业AhnLab遭APT攻击一事，就是骇客透过更新服务器这样的正常管道，让企业使用的资安工具变成派毒工具。

不过当时的攻击更为直接，骇客对企业派送恶意程式造成短时间内多间韩国银行与电视台遇害，导致使用该防毒的企业电脑与ATM受害，更影响了正常的金融交易运作，这也使得该国-启动国家危机管控机制。

在台湾，过去也有安装下载服务器遭入侵的案例，例如2014年底，台湾游戏代理商Garena的游戏安装档遭到感染，该公司在网站上发出资讯安全公告，同时公司高层也透过公开声明向玩家致歉，表达对此骇侵事件的重视与负责。

从上述两起关于更新、下载服务器的受骇事件来看，早有前例可循，但类似状况并未因此终止。

在接下来几年，又相继传出各种形式的渗透攻击，不是直接从攻破企业防护，而是透过供应商的更新、部署，甚至是开发过程下手，进而威胁到使用这些应用或服务的企业，令人防不胜防。

举例来说，2015年的苹果XcodeGhost事件，骇客更是从App开发的环境下手，仿冒一个植入恶意程式码的山寨版，并散布到中国云端空间与论坛，让使用的开发者，打造出的App都具有恶意程式，而这一事件也点出一个现象，那就是许多中国开发者在下载苹果开发工具时，竟是选择非官方来源的载点。

不仅如此，骇客的下手面向与锁定对象，都有很大不同与可能性。像是2017年骇客利用在乌克兰知名的会计软件，被用来散布勒索软件NotPetya，不少资安业者更是认为，这是以瘫痪系统为目标的国家级攻击行动，与前述韩国防毒软件事件相同的是，骇客攻击目标有相当明确的区域性。

此外，在2017年还有像是知名网管工具Xshell 5、系统清理工具CCleaner，这类全球都有不少企业用户的软件，也都曾经发现被入侵、假冒，而成为骇客散播恶意程式的管道，带来广大的影响，这也与此次华硕事件相同，受害的用户遍及各地。

甚至，还有些是锁定产业上下游的事件，例如骇客从PC业者的合作伙伴下手，像是有研究人员揭露HP电脑的音效芯片驱动程式，内藏键盘侧录程式。此外，也有骇客假冒某PDF编辑软件业者合作伙伴的服务器，并透过特别的挟持手段，让用户安装PDF软件时原本要从合作伙伴下载MSI格式的字体包，变成连至骇客服务器，用户电脑因而被递送挖矿程式。

上述这些仅仅是部分案例而已，然而我们已经不难看出利用供应链的攻击形式与范围之广，而且又难以察觉。

在华硕的这次事件后，也再次让整体产业，都更关注到更新服务器与凭证的安全问题，更要提醒的是，尽管业者本身财物损失并不严重，但无形的商誉却造成极大的破坏。

而最关键的问题是，一旦更新服务器与程式码签章凭证受骇，等于骇客就能借由这样的合法管道散布恶意威胁，不论是产品开发的公司或是产品用户，该如何继续信任这些产品的安全性？

对此，面对用户软件服务更新有庞大需求的微软，他们的资讯安全暨风险管理协理林宏嘉也提出他们的观察。他强调这是一种攻击逻辑的转变，业者过去在意的是本身有没有东西被偷，做好自身的防护，但现在也应该要转变思维，或许业者本身不是价值标的物，但是骇客可以透过他们去掳获到很多有价值的标的，因此，本身的防御也要跟上。

林宏嘉并表示，从犯罪的经济体系来看，过去APT攻击只是锁定单一目标采各种针对性攻击手法。现在骇客更在意的是经济规模，而从这些软件业者下手，可一次获取到众多的受害者，再来看谁适合成为目标，或者是先知道某群用户使用的工具，然后搞清楚其产业炼结构，再从周边找出容易攻破的点。

无论如何，未来这样的网络威胁还可能会变得更泛滥。在今年初，我们也持续看到许多资安业者发布的2019网络安全预测，都在提醒供应链攻击将是现在的主流。对于软件开发商或自行开发应用程序的企业团队而言，近年不断在提倡安全软件开发，但软件部署与交付，以及后续软件升级与维护的安全，也都不能像过去一样轻忽。

当软件更新服务器遭骇，使用这些软件的企业与用户该如何处置？

一般而言，更新服务的作用不外乎是功能增加强化与漏洞的修补，企业在考量升级稳定性之余，通常都是信任这样的更新机制，而这样的管道一旦被入侵，不论系统、PC与软件业者的更新服务，其实都将带来同样严重程度的风险，但涉及系统与底层的威胁层面，还是最令人忧心。

在华硕这次传出软件更新服务器遭入侵，让用户可能更新了具后门的华硕Live Update版本，事后用户该如何因应？原则上，就是依照原厂提供的安全公告，将Live Update更新至最新且安全的版本，用户事后能够做的事情相当有限。另外，官方还建议若是确认自己受到影响，应备份重要资料并还原操作系统，同时定期更换密码以保障用户安全。

但对于企业用户而言，若是这种威胁事件不断增加的情形下，是否对于这些更新机制也应抱持着零信任的态度？因为这类攻击已经暴露了软件更新机制的风险，尽管软件供应链本身需要负相当大的责任，但用户也可以进一步思考的是，若是不小心发生这样的问题，该如何降低风险？

例如，现有的防护机制是否能查出这样的风险，是否要增强端点上的侦测与回应机制，或是做出更高要求的管控，以避免未经授权的程式执行。

同时，企业要对自己本身的标的掌握度也要够好，也就是要清楚知道一套软件安装在多少台电脑上，内部总共安装多少软件及其更新状态，即便问题发生也能快速清查影响范围。而对于企业在内部近端架设的软件更新主机，是否也应增设检查的关卡，来减少威胁的发生，

无论如何，在软件供应链攻击的威胁之下，除了供应商要保障本身服务的安全，但用户与企业本身是否也该采取更严谨的做法，因为这已是现今无法回避的挑战。

最近6年来软件供应链相关攻击事件

2013年3月

防毒业者、更新服务器

韩国防毒软件业AhnLab遭骇

骇客控制该公司病毒码更新服务器，透过更新病毒档这样的正常管道，让原本派送给企业用户最新防毒定义档的方式，变成直接对企业派送后门并传递恶意程式。而这次攻击行动，直接造成多间韩国银行与电视台的电脑与ATM受害。

2014年11月

游戏代理商、下载服务器

台湾游戏代理商Garena被入侵

该公司的游戏安装档服务器遭骇客入侵，数位签章也被窃取，影响英雄联盟（LOL）等三款线上游戏，导致2014年11月中旬到12月下旬之间，他们在官网供玩家下载的游戏安装档遭感染恶意程式。而业者在12月底，也对外发出安全公告。

2015年3月

App开发工具

苹果XcodeGhost事件

骇客从苹果开发工具Xcode着手，从其官网下载正版并植入恶意程式码，再将盗版借由云端空间与论坛散，导致用其开发的App都具有恶意程式。事件在2015年9月被揭露，影响App数量超过4千个，同时突显中国开发者竟选择非官方来源的载点的普遍现象。

2015年12月

PC业者上下游

HP电脑声卡内藏键盘侧录

HP电脑在2017年5月被研究人员Modzero发现内含了侧录程式，问题出在IC设计业者Conexant所生产的音效芯片驱动程式，该研究人员并从档案的metadata发现，该键盘测录程式，至少在2015年圣诞节期间，就已存在于HP笔电上。

2017年3月

会计软件、更新服务器

乌克兰会计软件供应商遭入侵

当地具有高市占率的会计软件M.E.Doc，其供应商Intellect Service的更新服务器在2017年3至6月间遭入侵多次，向其客户与及其他外部网站散布勒索软件NotPetya，经乌克兰警方在2017年7月破获。值得注意的是，多数研究人员认为，NotPetya是国家支持的攻击行动，而对象就是乌克兰。

2017年7月

网管业者、更新服务器

网管工具软件Xshell 5遭植入后门

网管工具业者NetSarang遭入侵，他们旗下的Xshell软件遭骇客修改了程式码并嵌入恶意档案，并使用了合法的数位签章，来执行后门程式ShadowPad，帮助攻击者私自搜集目标装置资料。卡巴斯基实验室在2017年8月公布相关细节。

2017年8月

系统清理工具、下载服务器

系统清理工具CCleaner遭植入后门

Ccleaner的官网下载被入侵，骇客入侵了Avast刚并购的Piriform公司下载服务器，使得CCleaner 5.33的Windows版遭到感染，被植入二阶段后门。这起事件经Cisco Talos在9月揭露，感染期间为一个月，当时，受感染的程式，已被下载两百多万次。

2018年1月

软件业者合作伙伴服务器

某一PDF编辑器的合作伙伴服务器遭入侵

微软在2018年7月揭露一起供应链攻击事件，骇客建立仿冒PDF编辑器软件之合作伙伴的服务器，从该合作伙伴提供的字体包MSI档案着手，注入恶意的虚拟货币挖矿程式码。攻击行动在1月到3月间，让使用者下载并执行PDF编辑器时，会自动从假冒服务器中安装字体包。