华硕软件更新服务器遭黑客劫持,自动更新向用户下发恶意程序

千里目安全实验室 新闻 2019年3月27日发布
Favorite收藏

导语:卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序。

事件概述

卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;研究人员估计,全球约有百万台Windows电脑通过华硕的更新服务器被安装了恶意程序,但华硕方表示,攻击者只针对其中数百台设备进行攻击,该公司已帮助客户解决了问题,并进行了漏洞修补和服务器更新。

深信服安全团队捕获到了此次攻击事件中的相关样本,对样本进行了详细的分析,此次攻击事件虽然因为自动更新策略影响了大量用户,但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备,攻击流程如下:

01.png

二、恶意程序分析

1.该恶意程序盗用了华硕(ASUS)的合法数字证书,从证书的签署时间来看,攻击者是在2018年下半年进行了此次攻击活动:

04.png

2.恶意程序中包含了一段加密的shellcode,通过将该段数据加载到内存中,解密后执行:

05.png

解密部分如图:

06.png

3.shellcode执行的功能是通过函数GetAdaptersAddresses获取设备的MAC地址,然后计算其MD5:

08.png

4.将计算得到的MD5与程序中硬编码的MD5值进行匹配,如果匹配成功则连接攻击者的服务器下载恶意代码,执行第二阶段的攻击活动:

09.png

5.如果MD5没有与硬编码的值匹配成功,则在C:\Users目录下释放idx.ini文件,随后退出程序:

10.png

三、解决方案

华硕官方回应中给出了检测设备是否受到此次攻击影响和ASUS Live Update的更新,详见:

官方回应链接:

https://www.asus.com/News/hqfgVUyZ6uyAyJe1

诊断工具链接:

https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

ASUS Live Update更新说明:

https://www.asus.com/support/FAQ/1018727/

四、IOC

URL:

https://asushotfix[.]com/logo[.]jpg

https://asushotfix[.]com/logo2[.]jpg

MD5:

55A7AA5F0E52BA4D78C145811C830107

如若转载,请注明原文地址: https://www.4hou.com/info/news/17035.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论