供应链攻击｜ASUS Live Update感染后门，影响100多万用户

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：ASUS Live Update是一款预装在大多数华硕电脑上的实用工具，用于自动更新如BIOS、UEFI、驱动程序和应用程序。卡巴斯基实验室发现它被安装后门，目前已影响超过100万用户。

据外媒报道，卡巴斯基实验室于2019年1月检测到新的APT攻击事件，预计攻击在2018年6月至11月期间进行，据称已影响到100多万下载了ASUS Live Update Utility的用户。

 

卡巴斯基实验室的全球研究与分析（GReAT）团队将这一攻击命名为ShadowHammer，它导致了逾5.7万卡巴斯基用户下载并安装了带后门的ASUS Live Update。

GReAT在报告中表示，ASUS Live Update是一款预装在大多数华硕电脑上的实用工具，用于自动更新如BIOS、UEFI、驱动程序和应用程序。根据Gartner的数据，到2017年，华硕是全球第五大个人电脑销售商，这使得它成为了APT组织的目标。

 

ShadowHammer受害者分布图

受感染的ASUS Live Update二进制文件有多个版本，每个版本都针对未知的用户池，这些用户由网络适配器的MAC地址识别。

 

ShadowHammer背后的攻击者使用硬编码的MAC地址列表来检测后门是否安装在命中列表中MAC地址的机器上，卡巴斯基从这次攻击中使用的200多个样本中收集了600个MAC地址。

如果MAC地址匹配，恶意软件就会下载下一阶段的恶意代码。研究人员发现，渗透进来的更新程序并没有显示出任何网络活动。

 

第二阶段的后门从位于asushotfix[.]com的命令和控制服务器下载。该服务器在去年11月就已被关闭，因此无法获得恶意软件样本。

 

卡巴斯基的研究人员还发现，受感染的ASUS Live Update安装程序使用合法的“ASUSTeK Computer Inc.”的数字签名，这些证书“托管在liveupdate01s.asus[.]com和liveupdate01.asus[.]com华硕更新服务器上。”

 

带后门的ASUS Live Update安装程序签名证书

卡巴斯基表示，ShadowHammer中使用的方法与针对CCleaner和2017年NetSarang的ShadowPad供应链攻击中使用的方法相似。

 

GReAT表示，卡巴斯基已于1月31日联系华硕，向他们通报了针对Asus Live Update工具的供应链攻击，同时也提供了攻击中使用的恶意软件以及IOC的详细信息。尽管华硕已被告知此次攻击，但它没有与卡巴斯基保持积极的沟通，也没有向华硕用户发出警告。

 

此外，卡巴斯基为想要确认电脑是否受到ShadowHammer影响的用户提供了离线实用程序和在线web检查器。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• 有俄罗斯是否干预2016年美国大选调查报告的完整版？假的！

• 美国举办大学黑客马拉松，促进学生、安全行业的发展

• 白帽黑客在Pwn2Own竞赛中赢得特斯拉汽车

• 美国联邦应急管理局泄露了230万灾难幸存者的个人信息

• 超过10万个GitHub repos泄露了API或加密密钥

• 删除手机数据并不能让你远离网络罪犯

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！