3,000+ GitHub賬戶遭黑客(ke)濫用(yong)，惡意軟(ruan)件(jian)SocGholish借助(zhu)BOINC開源(yuan)項目(mu)進行隱蔽(bi)網(wang)絡攻擊，網絡與信息安全(quan)軟(ruan)件(jian)開發(fa)面(mian)臨(lin)新挑(tiao)戰產品大(da)全(quan) 北京哲(zhe)袁(yuan)科(ke)技(ji)

壹(yi)、事(shi)件概(gai)述：從(cong)GitHub到(dao)BOINC的(de)隱蔽(bi)攻(gong)擊鏈

二、攻擊手法(fa)分析(xi)：為何(he)BOINC成(cheng)為“完(wan)美掩(yan)護(hu)”？

信任濫用(yong)：BOINC作為知(zhi)名開源(yuan)項目(mu)，享(xiang)有較(jiao)高的(de)社區(qu)信任度(du)。攻(gong)擊者(zhe)利用(yong)這(zhe)種信任，將(jiang)惡(e)意(yi)負(fu)載(zai)與正(zheng)常計(ji)算任務捆綁(bang)，使(shi)得(de)安全(quan)軟(ruan)件(jian)可能(neng)將(jiang)其(qi)誤(wu)判為合(he)法(fa)行(xing)為。
隱蔽(bi)性(xing)強(qiang)：BOINC客(ke)戶端(duan)通常(chang)以(yi)系(xi)統(tong)服(fu)務或後臺(tai)進程運(yun)行(xing)，其網(wang)絡活動(dong)與(yu)計(ji)算任務傳輸被視(shi)為正(zheng)常(chang)，惡(e)意流(liu)量得以(yi)混(hun)雜(za)其中，難(nan)以(yi)被傳統(tong)防(fang)火(huo)墻(qiang)或(huo)入(ru)侵檢測系(xi)統(tong)識別(bie)。
開(kai)源生(sheng)態(tai)的(de)薄弱環(huan)節(jie)：GitHub等(deng)平(ping)臺(tai)賬戶註(zhu)冊相對(dui)容(rong)易，黑客(ke)利用(yong)自(zi)動(dong)化腳(jiao)本(ben)批(pi)量創(chuang)建(jian)賬戶，並(bing)快速(su)上傳惡意代碼。開源(yuan)項目(mu)的(de)協(xie)作性(xing)質(zhi)使得惡(e)意代碼可能(neng)通過(guo)“Pull Request”或依賴(lai)庫註(zhu)入(ru)等(deng)方式(shi)滲(shen)透(tou)。

三、對(dui)網(wang)絡與信息安全(quan)軟(ruan)件(jian)開發(fa)的(de)啟(qi)示

行為檢測重於特征(zheng)匹(pi)配(pei)：傳統(tong)基(ji)於簽(qian)名的(de)殺(sha)毒(du)軟(ruan)件(jian)可能(neng)難(nan)以(yi)應對(dui)此類利用(yong)合法(fa)程序掩(yan)護(hu)的(de)攻擊。未來(lai)的(de)安全(quan)軟(ruan)件(jian)需加強(qiang)行(xing)為分析(xi)能力(li)，監測程序的(de)異常(chang)行為（如(ru)BOINC客(ke)戶端(duan)突(tu)然(ran)發(fa)起(qi)與科(ke)研(yan)任務無(wu)關(guan)的(de)網絡連接(jie)）。
供(gong)應(ying)鏈安全(quan)亟需重視(shi)：開(kai)源軟(ruan)件(jian)供(gong)應(ying)鏈成為攻(gong)擊新入(ru)口。安全(quan)開發(fa)應(ying)包含對(dui)第(di)三方(fang)依賴(lai)庫、開(kai)源(yuan)組件的(de)安全(quan)審計(ji)，以(yi)及實時監控(kong)項目(mu)倉(cang)庫的(de)異常(chang)更新(xin)。
上下(xia)文(wen)感(gan)知的(de)安全(quan)防(fang)護(hu)：安全(quan)軟(ruan)件(jian)需要更(geng)深(shen)入地(di)理(li)解應用(yong)程序的(de)正常(chang)上下(xia)文(wen)（例如，BOINC的(de)正常(chang)行為模式(shi)），並(bing)建立基(ji)線，以(yi)便及時發(fa)現偏(pian)離。
開(kai)發(fa)者(zhe)與(yu)平(ping)臺(tai)的(de)責任強(qiang)化：GitHub等(deng)平(ping)臺(tai)需加強(qiang)賬戶驗(yan)證與(yu)項目(mu)監(jian)控(kong)機制；開發(fa)者(zhe)則(ze)應(ying)啟(qi)用(yong)雙(shuang)因素認證、定(ding)期(qi)審(shen)核(he)賬戶活(huo)動，並(bing)對(dui)參(can)與(yu)的(de)開源(yuan)項目(mu)進行安全(quan)評(ping)估(gu)。

北京哲(zhe)袁(yuan)科(ke)技(ji)

3,000+ GitHub賬戶遭黑客(ke)濫用(yong)，惡意軟(ruan)件(jian)SocGholish借助(zhu)BOINC開源(yuan)項目(mu)進行隱蔽(bi)網(wang)絡攻擊，網絡與信息安全(quan)軟(ruan)件(jian)開發(fa)面(mian)臨(lin)新挑(tiao)戰

壹(yi)、事(shi)件概(gai)述：從(cong)GitHub到(dao)BOINC的(de)隱蔽(bi)攻(gong)擊鏈

二、攻擊手法(fa)分析(xi)：為何(he)BOINC成(cheng)為“完(wan)美掩(yan)護(hu)”？

三、對(dui)網(wang)絡與信息安全(quan)軟(ruan)件(jian)開發(fa)的(de)啟(qi)示

四、在開放(fang)與(yu)安全(quan)之(zhi)間尋求平衡

產品列(lie)表

PRODUCT