360-2017年度安全报告（网络安全）——供应链.pdfVIP

2017 年度安全报告——供应链攻击 Supply Chain Security XshellGhost 事件 Ccleaner 恶意代码攻击事件 OSX/Proton 后门（Elmedia Player 软件）攻击事件 Chrome 插件 User － Agent Switcher 供应链攻击事件 全国多省爆发大规模软件升级劫持攻击 Wordpress Keylogger 事件 360 Computer Emergency Readiness Team, January 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 cert@360.cn 2017 年度安全报告——供应链攻击 供应链攻击年终报告 传统的供应链概念是指商品到达消费者手中之前各相关者的连接或业务的衔接，从采购原材料开始，制 成中间产品以及最终产品，最后由销售网络把产品送到消费者手中的一个整体的供应链结构。 近年来我们观察到了大量基于软硬件供应链的攻击案例，比如针对 Xshell 源代码污染的攻击机理是攻 击者直接修改了产品源代码并植入特洛伊木马；针对苹果公司的集成开发工具 Xcode 的攻击，则是通 过影响编译环境间接攻击了产出的软件产品。这些攻击案例最终影响了数十万甚至上亿的软件产品用户， 并可以造成比如盗取用户隐私、植入木马、盗取数字资产等危害。接下来我们将从划分出来各环节的角度， 举例分析这些针对供应链攻击的重大安全事件。 2 360 Computer Emergency Readiness Team, January 2018 2017 年度安全报告——供应链攻击 下面是小编收集到的今年部分供应链攻击事件 ( 排名不分先后 ): 发布厂商 发布时间 相关分析报告 报告详细链接 Qihoo360 7.12 全国多省软件升级劫持攻击事件数据分析 /interref/detail/192.html /static/files/XShellGhost%E4%BA%8B%E4%B- Kaspersky 9.7 XShellGhost 事件技术回顾报告 B%B6%E6%8A%80%E6%9C%AF%E5%9B%9E%E9%A1%BE%E