上周的主要新闻是通过被黑的Asus Live Update实用程序对Asus设备所有者的针对性攻击。 卡巴斯基实验室的研究人员在今年1月发现了一次攻击:带有受感染的
实用程序,用于使用Asus组件更新笔记本电脑和计算机上的驱动程序,并带有合法证书,并从制造商的服务器中分发。 对该实用程序的修改为黑客提供了对所有受影响系统的完全访问权限,但是只有在系统的一个网络适配器的MAC地址与目标系统列表匹配时,他们才能利用此机会。
在这种情况下,从2018年3月创建的服务器下载了其他恶意软件,并在检测到攻击之前停止了工作-暂时出于未知目的。 该攻击以其复杂性和隐蔽性而著称。 最有可能的是,在此之前发生了大规模事件,以收集信息并确定“有前途的”受害者。 尽管现在谈论攻击的确切归因还为时过早,但有证据表明,使用2017
CCleaner实用程序将其与更早的事件联系起来。 有关此次攻击的完整调查报告将于下周发布,并在卡巴斯基实验室会议
安全分析师峰会上发表 。 在这篇文章中-事件的简短描述和一些结论。
主要来源:
新闻 ,卡巴斯基实验室研究
摘录 ,有关
主板的详细文章,华硕的官方
声明 。 您可以使用
此在线服务检查Asus设备的MAC地址。
发生什么事了
从2018年6月至2018年11月,从Asus服务器分发了受感染的Asus Live Update实用程序版本。 该程序已预装在该制造商的笔记本电脑上,但也可用于基于Asus主板的计算机的所有者。 它允许您下载最新的BIOS,固件和设备驱动程序并自动安装它们。 恶意应用程序已上载到供应商的服务器,并由公司的合法证书签名,并作为程序的更新分发。 Reddit
讨论了该实用程序
的奇怪行为,尽管尚未确定该线程中提到的事件是否与该攻击有关。
尽管该实用程序已“更新”,但实际上它是该程序的过时版本,带有附加的恶意功能(
此处是由独立研究人员执行的恶意代码解析)。 可以得出结论,华硕的基础架构已部分受损:攻击者可以访问更新服务器和数字证书,但不能访问应用程序源代码和构建服务器。 借助一项旨在检测供应链中攻击的新技术的测试,恶意软件的检测成为可能。攻击者要么以某种方式攻击软件或硬件,然后才将其交付给最终消费者受害者,或者他们破坏了服务工具,并且操作过程中的设备管理-习惯于信任的设备管理。
谁受伤了
如果将所有使用该实用程序的用户“附上附件”计算在内,那么成千上万的用户将受到影响,其中大多数来自俄罗斯,德国和法国。 但这仅是根据卡巴斯基实验室的说法。 后来,赛门铁克提供了自己的数据-他们统计了1.3万个受感染的系统,其中美国用户所占份额更大。 显然这并没有全部受到影响,很可能是恶意软件在数十万个系统上。 但是在大多数受攻击的计算机上,该实用程序没有执行任何操作,它仅使用自己的数据库检查MAC地址。 如果命令服务器发生了巧合(为它注册了域asushotfix [。] Com),则会加载其他软件。 在某些情况下,触发是有线和无线网络模块的MAC地址的组合。
从受感染实用程序的200个样本中,我们设法提取了ShadowHammer攻击真正针对的系统的约600个MAC地址。 然后对它们所做的事情还不清楚:命令服务器停止工作,直到研究人员发现攻击为止。 已知事实到此结束,结论就开始了。
现在,攻击的复杂性几乎没有人感到惊讶-有针对性攻击的示例,在研发方面投入了更多的精力。 ShadowHammer操作的一个重要特征是它是成功的供应链攻击。 受感染的软件是从制造商的服务器中分发的,并由制造商的证书签名-在客户端,没有理由不信任这种情况。 在这种情况下,我们使用的是预安装的实用程序,但是用户通常自己安装的其他程序也遭到了攻击。 卡巴斯基实验室专家有理由相信,新的ShadowHammer攻击与两年前的两次事件有关。
在第一种情况下,对上述CCleaner实用程序进行了修改,并且也从制造商的服务器中分发了该实用程序。 在第二种情况下,用于管理公司NetSarang网络中设备的软件制造商遭到攻击。 可能还有其他攻击,在这些攻击期间,攻击者收集了受害者感兴趣的计算机的MAC地址。 在这个故事中,暗示了物联网设备(IP摄像机,路由器等)被大量感染的真正原因之一。 并非总是可以通过受感染的设备来获取感兴趣的数据,但是可以收集足够的信息以用于下一个更具针对性的操作。
当然,问题产生于对硬件和软件制造商的信任:如果软件更新或驱动程序来自供应商,那么它是否安全? 也许您仍然需要信任,否则漏洞的点可能会简单地转移到另一个地方。 也欢迎制造商对此类事件做出迅速反应。 据卡巴斯基实验室称,就华硕而言,从第一次通知(1月底)到问题的官方确认(3月26日)已经过去了两个月。 我想知道将使用哪些技术来快速检测此类攻击? 安全软件制造商和供应商都需要努力。 仍然很少有使用合法证书对恶意软件进行签名的情况,但是仅存在数字签名就不能再作为评估软件的唯一标准。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。