软件更新劫持(Software Update Hijacking)是通过控制软件供应商的更新分发渠道,将恶意代码植入数字签名合法的软件补丁中的攻击技术。攻击者通过入侵软件厂商的构建服务器或劫持CDN节点,在更新包传输过程中替换数字签名有效的安装文件。由于更新流程本身具有可信性,被篡改的安装程序能够绕过终端安全产品的验证机制。
该技术的匿迹核心在于对信任链的深度渗透与签名验证机制的逆向利用。攻击者首先通过社工或漏洞利用获取代码签名证书,确保恶意更新包通过证书链验证。在流量劫持层面,采用中间人攻击(如BGP路由劫持或DNS缓存投毒)将用户更新请求重定向至恶意服务器,同时维持HTTPS协议外层的合法性。技术实施中通过差分补丁注入(仅修改部分代码段保持整体哈希相近)、白利用加载(借助合法进程执行恶意模块)等手法,使传统基于哈希校验或行为监控的防御手段失效。更新包的数字签名完整性与分发渠道的官方属性,使得攻击完全融入正常的软件维护流程。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon