供應鏈攻擊｜ASUS Live Update感染後門，影響100多萬用戶

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：ASUS Live Update是一款預裝在大多數華碩電腦上的實用工具，用於自動更新如BIOS、UEFI、驅動程序和應用程序。卡巴斯基實驗室發現它被安裝後門，目前已影響超過100萬用戶。

據外媒報道，卡巴斯基實驗室於2019年1月檢測到新的APT攻擊事件，預計攻擊在2018年6月至11月期間進行，據稱已影響到100多萬下載了ASUS Live Update Utility的用戶。

卡巴斯基實驗室的全球研究與分析（GReAT）團隊將這一攻擊命名為ShadowHammer，它導致了逾5.7萬卡巴斯基用戶下載並安裝了帶後門的ASUS Live Update。

GReAT在報告中表示，ASUS Live Update是一款預裝在大多數華碩電腦上的實用工具，用於自動更新如BIOS、UEFI、驅動程序和應用程序。根據Gartner的數據，到2017年，華碩是全球第五大個人電腦銷售商，這使得它成為了APT組織的目標。

ShadowHammer受害者分布圖

受感染的ASUS Live Update二進位文件有多個版本，每個版本都針對未知的用戶池，這些用戶由網路適配器的MAC地址識別。

ShadowHammer背後的攻擊者使用硬編碼的MAC地址列表來檢測後門是否安裝在命中列表中MAC地址的機器上，卡巴斯基從這次攻擊中使用的200多個樣本中收集了600個MAC地址。

如果MAC地址匹配，惡意軟體就會下載下一階段的惡意代碼。研究人員發現，滲透進來的更新程序並沒有顯示出任何網路活動。

第二階段的後門從位於asushotfix[.]com的命令和控制伺服器下載。該伺服器在去年11月就已被關閉，因此無法獲得惡意軟體樣本。

卡巴斯基的研究人員還發現，受感染的ASUS Live Update安裝程序使用合法的「ASUSTeK Computer Inc.」的數字簽名，這些證書「託管在liveupdate01s.asus[.]com和liveupdate01.asus[.]com華碩更新伺服器上。」

帶後門的ASUS Live Update安裝程序簽名證書

卡巴斯基表示，ShadowHammer中使用的方法與針對CCleaner和2017年NetSarang的ShadowPad供應鏈攻擊中使用的方法相似。

GReAT表示，卡巴斯基已於1月31日聯繫華碩，向他們通報了針對Asus Live Update工具的供應鏈攻擊，同時也提供了攻擊中使用的惡意軟體以及IOC的詳細信息。儘管華碩已被告知此次攻擊，但它沒有與卡巴斯基保持積極的溝通，也沒有向華碩用戶發出警告。

此外，卡巴斯基為想要確認電腦是否受到ShadowHammer影響的用戶提供了離線實用程序和在線web檢查器。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀：

• 有俄羅斯是否干預2016年美國大選調查報告的完整版？假的！

• 美國舉辦大學黑客馬拉松，促進學生、安全行業的發展

• 白帽黑客在Pwn2Own競賽中贏得特斯拉汽車

• 美國聯邦應急管理局泄露了230萬災難倖存者的個人信息

• 超過10萬個GitHub repos泄露了API或加密密鑰

• 刪除手機數據並不能讓你遠離網路罪犯

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！