天创培训:您身边的信息安全培训专家!
行业动态
华硕回应软件被黑客劫持:仅数百用户受影响,已更新软件

在收到 ASUS Live Update 的更新提示后,王尼玛没有多加思索便按下了“确认”键。在这之后,它的电脑算是彻底黑化了。

华硕回应软件被黑客劫持:仅数百用户受影响,已更新软件

当然,黑化了的设备并非这一台。3月26日,卡巴斯基实验室报告称华硕遭遇了一起利用ASUS Live Update(华硕升级应用程序)的供应链攻击,黑客以程序更新的名义向用户电脑发布伪装成“更新项”的恶意病毒,初步估计受影响用户将超过百万。

影锤行动

此次攻击行动又被称作ShadowHammer(影锤),其最早攻击活动时间可追溯到2018年6月至11月。

影锤攻击的第一步就是篡改 ASUS Live Update 。攻击者在更新程序中添加了隐蔽的后门程序,并且使用与原文件极其相似的恶意程序替代前者。

其具体攻击步骤如下:

1、无差别攻击阶段——黑客针对所有的华硕用户推送恶意升级包,用户安装恶意升级包后会启动黑客植入的恶意代码,并等待进入第二阶段;

2、针对性攻击阶段——攻击者通过手动定位一个位置的用户池,只针对数百个目标用户识别出其网络配置器的MAC地址,一旦锁定目标用户就会连接黑客的服务器激活更多的恶意代码;

(注:为了达到上述目标,攻击者在木马病毒样本中硬编码了一个MAC地址列表,以此识别大多数实际目标。在用户启动更新程序后,攻击会使用200个攻击样本挑选出600多个实际攻击对象的MAC地址。)

攻击流程图如下:

华硕回应软件被黑客劫持:仅数百用户受影响,已更新软件

据分析,恶意程序包被分为两种,一种在安装包的内部资源直接隐藏了完整的恶意PE文件,在分配内存后直接内存加载调用winMain中的主函数启动;另一种在安装包的资源中隐藏的是shellcode,经过解密后加载到内存中执行。

据卡巴斯基统计,受害用户大多来自俄罗斯、德国及法国,分别占了大约18%、16%、12%,而美国地区中招的用户只有5%左右。由此可见,此次攻击仅针对少数特定对象,并非针对一般消费者。

华硕在回应中称:“目前只有笔记本(notebook)版本的Live Update会受到影响。”

超级“伪装者”

时隔一年,为何最近才发现这起攻击呢?显然,要想对付华硕这样的厂商,攻击者们没有两把刷子是不行的。

实际上,影锤攻击的执行十分隐蔽。

华硕回应软件被黑客劫持:仅数百用户受影响,已更新软件

据信,黑客可以获得华硕自己的证书,通过华硕庞大的供应链签署恶意软件。这些供应链厂商及开发者来来自于世界各地,由于其直接针对业内人士或直接渗透到公司内部,此类攻击尤其难以察觉。

通过这种使用代码签名证书隐藏恶意组件的方法,攻击者很容易的躲过了各类审查机制。据悉,该后门原理与CCleaner相似,而后者在当时成功攻击了约230万客户,其目标大多为科技巨头。

恶意更新程序托管在官方liveupdate01s.asus.com和liveupdate01.asus.com华硕更新服务器上。而为了防止恶意病毒被辨认出,攻击者特意将恶意文件大小修改的与正常版文件一样,并且使用了合法的认证证书。

不得不说,影锤攻击是实至名归的超级“伪装者”。

受害者并非一家

除了华硕之外,卡巴斯基实验室报告中还同时提到了另外的几家公司几乎遭受了与上述情况一致的攻击,可以断定执行攻击的是同一APT组织。目前,卡巴斯基实验室并未在报告中提及其他厂商的名字,而华硕也尚未查明遭受攻击的具体原因。

庆幸的是,华硕已经推出了 Live Update 工具的 3.6.8 版本修复了上述问题。其原理是通过添加大量安全检查机制,更新或其它方法拦截“恶意操纵”。为了能够拦截进一步的攻击,华硕公司表示,“更新并增强了我们的服务器对终端用户软件的架构。”

华硕回应软件被黑客劫持:仅数百用户受影响,已更新软件

此外,华硕还表示会提供可下载的“在线安全诊断工具”供客户查看自己的计算机是否受到了APT组织的活动影响。并建议一旦发现问题立刻恢复成出厂设置,经常更换密码。

在昨天的回应中华硕表示,由于此次攻击目的性较强,为针对供应链层面的攻击类型。据统计,目前受到影像的用户仅在百名左右,但这并不意味着攻击范围不会进一步扩散,因此引起用户警惕是有必要的。