勒索軟體(Ransomware)近年從單純的資料加密演化成多階段、跨組織的攻擊鏈,而「供應鏈攻擊(Supply-Chain Attack)」已成為攻擊者擴散勒索軟體的最高效手段之一。供應鏈本質上是一條以「信任」為核心的鏈結,一旦其中任一環節遭到滲透,惡意程式便能以合法更新與可信軟體的形式迅速散佈至企業內部乃至更大範圍的產業。
本文將深入剖析供應鏈與勒索軟體的結合方式、技術細節、攻擊者如何在合法環境中植入加密程式碼,以及企業如何降低此類風險。
1. 供應鏈攻擊的核心概念:利用信任、滲透整體
供應鏈攻擊指的是攻擊者滲透軟體供應商的開發、編譯、測試或發佈流程,將惡意程式碼 植入原本合法的軟體、更新或元件 中,最終抵達客戶端並執行。
其關鍵特性包括:
| 特性 | 說明 |
|---|---|
| 跨組織信任傳遞 | 攻擊者可透過供應商滲透多個企業,達到大規模感染。 |
| 合法簽章與更新流程 | 惡意程式透過官方更新散佈,難以被偵測。 |
| 高滲透率與隱蔽性 | 無須入侵每個企業,只要破壞上游即可。 |
| 可滲透多平台 | 從 Web、IDE、容器、韌體到 SaaS,都可能成為入口。 |
當勒索軟體結合供應鏈攻擊後,不僅加密端點資料,更可在攻擊前取得:
-
領域管理權限(Domain Admin)
-
主機證書、Token、API Key
-
雲端管理權限(Azure / AWS)
-
備份系統控制權
使攻擊者能 精準選擇時機 發動加密行動,造成最大破壞。
2. 勒索軟體在供應鏈中的典型滲透方式
以下列出勒索軟體常利用的供應鏈滲透管道:
2.1 惡意插件 / 擴充套件(IDE、CI/CD、第三方模組)
攻擊者可透過:
-
VSCode / JetBrains / Eclipse 擴充套件
-
Jenkins / GitLab CI / GitHub Actions 插件
-
npm / PyPI / Maven 套件
來植入加密模組或後門。
👉 安裝即感染。更新即感染。CI/CD 佈署即感染。
2.2 在編譯鍊(Build Chain)直接植入
攻擊者入侵:
-
Source Code Repository(Git)
-
Build Server(Jenkins、GitLab Runner)
-
影像建構流程(Docker Build)
並在:
-
Makefile
-
build.gradle
-
CMake
-
package.json
中植入惡意程式碼。
📌 SolarWinds、3CX 與 Codecov 等事件皆屬此類典型。
2.3 偽造程式簽章與可信證書
常見做法:
-
竊取合法開發者憑證
-
滲透 CA 或透過弱點取得簽章憑證
-
利用 sigstore / Notary 簽署惡意容器映像
👉 因為程式可通過 OS 驗證,企業端几乎無法察覺。
2.4 正式更新機制與雲端模組推送
攻擊者入侵:
-
官方更新伺服器
-
CDN
-
Registry(npm、Docker Hub)
將惡意版本「偽裝成新版更新」。
使用者只要:
-
按下「更新」
-
自動更新後下一次重啟
-
CI pipeline 重建專案
惡意勒索元件即開始部署。
3. 勒索軟體供應鏈攻擊流程(Kill Chain)
以下為典型攻擊流程(你原有內容,我將之整理成更明確的攻擊鏈):
【1】目標選擇與供應商地圖建置
攻擊者分析企業與其:
-
SaaS 供應商
-
開發工具
-
CI/CD pipeline
-
雲端平台
-
第三方元件庫
【2】滲透供應商或上游開發環境
手法包括:
-
弱密碼、VPN 漏洞
-
插件庫污染(npm typosquatting)
-
DevOps Git Token 泄漏
-
Web 伺服器 0day
【3】植入加密程式碼或後門
於供應商內部:
-
修改編譯腳本
-
注入 payload
-
替換 DLL / so / npm module
-
植入後門以待命
【4】官方更新流程自動推送
惡意更新透過:
-
官方 OTA 更新
-
自動更新代理程式
-
IDE 套件同步
-
Docker pull
散佈到全球使用者。
【5】企業端安裝後,勒索程式獲得初始位置
惡意程式開始:
-
建立 persistence(啟動項)
-
偷取 AD token
-
掃描內部 NAS / DB
-
等候加密時機
【6】橫向滲透與權限提升
利用:
-
Kerberos TGT / Pass-the-Ticket
-
Admin$ 共享
-
RDP / SMB lateral movement
-
PowerShell Remoting
取得完整網路控制權。
【7】啟動加密行為並要求贖金
通常選擇深夜或週末部署。
4. 技術手法深入解析
4.1 破壞可信編譯環境(Build Pipeline Compromise)
攻擊手法:
-
掃描供應鏈(TruffleHog、Gitleaks)挖取金鑰
-
偽造 dependency(npm、pip)自動載入
-
改寫 Makefile / build script
-
於產線中嵌入隱蔽模組(如 XOR 加密後 payload)
📌 此方法隱蔽性極高,難以發現。
4.2 濫用程式簽章與憑證
攻擊者可:
-
使用被竊取的 EV Code Signing Certificate
-
滲透 CA 取得合法簽章
-
用 sigstore 重建可信 container image
因已被簽名,EDR、AV 很難判定其惡意性。
4.3 企業內部橫向滲透(Lateral Movement)
常見工具組合:
✔ Kerberos 票證濫用
-
PtT / PtH
-
駭入 Domain Controller
✔ PowerShell 混淆
Invoke-Obfuscation 可繞過多數防毒偵測。
✔ AD 佈署後門
將勒索程式設為:
-
AD 登錄腳本
-
開機腳本
-
GPO 佈署模組
確保重開機後仍持續存在。
5. 企業風險與防禦架構
以下是「必做」清單:
✔ 5.1 供應鏈安全治理(Software Supply-Chain Security)
-
對供應商進行資安審核
-
強制 SBOM(Software Bill of Materials)
-
套件來源限制(只能來自內部 artifact registry)
-
SAST / SCA / Dependency Track
✔ 5.2 加固 Build Pipeline
-
Build 環境與 Prod 完全隔離
-
強制 reproducible builds(可重現編譯)
-
CI/CD secret rotation
-
簽章流程防竄改(signing enclave)
✔ 5.3 AD 與憑證中心安全
-
實作 Tiering model
-
禁止 Domain Admin 用於日常登入
-
Kerberos TGT 過期時間縮短
-
EDR on Domain Controller(必要!)
✔ 5.4 勒索軟體行為偵測
使用:
-
EDR(CrowdStrike / SentinelOne)
-
UEBA(User Behavior Analytics)
-
NDR 監控 NAS 大量變動行為
-
即時監控憑證、Token 使用情況
✔ 5.5 更新完整性檢查
-
全面啟用 Code Signing
-
所有更新須通過 Hash 與簽章驗證
-
不得允許未簽名程式執行
📌 結語:供應鏈攻擊 + 勒索軟體 = 最高破壞力攻擊方式
攻擊者不必正面強攻企業,而是滲透:
-
你使用的 IDE
-
你的 CI/CD pipeline
-
你的第三方插件
-
你的路由器韌體
-
你的 SaaS 雲服務
-
你的容器基底映像
這些都可能成為勒索軟體的進入點。
供應鏈攻擊是真正的「一次攻擊、多點爆發」。
一旦信任鏈被破壞,攻擊擴散速度可比零日漏洞更快、破壞力更大。
- 🧠 本文由 DreamJ AI 自動新聞產生系統 撰寫,內容為技術分析用途。
發佈留言