压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

聲明：以下全文參考卡巴斯基和motherboard官方發(fā)布的分析報(bào)告

如原文有不實(shí)報(bào)道，請(qǐng)與卡巴斯基和motherboard聯(lián)系，本文僅供技術(shù)參考，涉及公司名稱已打部分碼表示。原文為第一人稱視角發(fā)布，為避免引起法律糾紛，因此同樣以此進(jìn)行翻譯轉(zhuǎn)述以及一些信息補(bǔ)充。

這家臺(tái)灣科技巨頭華X被認(rèn)為通過(guò)其受信任的自動(dòng)軟件更新工具將惡意軟件推向了數(shù)十萬(wàn)客戶，因?yàn)楣粽吖粼摴镜姆?wù)器并用它將惡意軟件推送到機(jī)器上。

網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室的研究人員表示，華X是世界上最大的計(jì)算機(jī)制造商之一，去年在攻擊者為公司的實(shí)時(shí)軟件更新工具破壞了服務(wù)器之后，曾經(jīng)無(wú)意中在數(shù)千個(gè)客戶的計(jì)算機(jī)上安裝了惡意后門(mén)?？ò退够鶎?shí)驗(yàn)室表示，惡意文件是使用合法的華X數(shù)字證書(shū)簽署的，以使其看起來(lái)是該公司的真實(shí)軟件更新。

華X是一家總部位于臺(tái)灣的數(shù)十億美元的計(jì)算機(jī)硬件公司，生產(chǎn)臺(tái)式電腦，筆記本電腦，移動(dòng)電話，智能家居系統(tǒng)和其他電子設(shè)備。

研究人員估計(jì)有50萬(wàn)臺(tái)Windows機(jī)器通過(guò)華X更新服務(wù)器接收了惡意后門(mén)，盡管攻擊者似乎只針對(duì)這些系統(tǒng)中的大約600個(gè)機(jī)器。

惡意軟件通過(guò)其唯一的MAC地址搜索目標(biāo)系統(tǒng)。一旦進(jìn)入系統(tǒng)，如果它找到了這些目標(biāo)地址之一，則惡意軟件會(huì)聯(lián)系到攻擊者操作的命令和控制服務(wù)器，然后在這些計(jì)算機(jī)上安裝其他惡意軟件。

“這次攻擊表明我們基于已知供應(yīng)商名稱和數(shù)字簽名驗(yàn)證使用的信任模型無(wú)法保證您不會(huì)受到惡意軟件的攻擊，”卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)亞太區(qū)總監(jiān)Vitaly Kamluk表示。研究。他指出，當(dāng)研究人員在1月份聯(lián)系該公司時(shí)，華X向卡巴斯基否認(rèn)其服務(wù)器遭到入侵，惡意軟件來(lái)自其網(wǎng)絡(luò)。但Kamluk表示，卡巴斯基收集的惡意軟件樣本的下載路徑直接返回華X服務(wù)器。

motherboard周四向華X發(fā)送了卡巴斯基在三封電子郵件中提出的索賠清單，但沒(méi)有收到公司的回復(fù)。

但這家總部位于美國(guó)的安全公司賽門(mén)鐵克周五證實(shí)了卡巴斯基的調(diào)查結(jié)果，motherboard詢問(wèn)是否有任何客戶也收到了惡意下載。該公司仍在調(diào)查此事，但在電話中稱，至少有13,000臺(tái)屬于賽門(mén)鐵克客戶的計(jì)算機(jī)去年感染了華X的惡意軟件更新。

“我們看到更新來(lái)自Live Update ASUS服務(wù)器。它們被木馬化或惡意更新化，并且證書(shū)由華X簽署，“賽門(mén)鐵克安全技術(shù)和響應(yīng)小組開(kāi)發(fā)主管Liam O’Murchu說(shuō)。

卡巴斯基全球研究與分析團(tuán)隊(duì)全公司董事科斯汀·萊烏表示，華X的攻擊與其他攻擊不同。

“我認(rèn)為這種攻擊在以前的攻擊中脫穎而出，同時(shí)在復(fù)雜性和隱秘性方面處于領(lǐng)先水平。通過(guò)MAC地址以手動(dòng)方式過(guò)濾目標(biāo)是長(zhǎng)時(shí)間未被發(fā)現(xiàn)的原因之一。如果你不是目標(biāo)，惡意軟件幾乎是無(wú)法發(fā)現(xiàn)的，“

但即使在非目標(biāo)系統(tǒng)上保持沉默，惡意軟件仍然會(huì)讓攻擊者在每個(gè)受感染的ASUS系統(tǒng)中都存在后門(mén)。

下面為卡巴斯基報(bào)告具體內(nèi)容

Operation ShaHmer，這是一種利用華XLive Update軟件的新發(fā)現(xiàn)的供應(yīng)鏈攻擊。

在2019年1月，我們發(fā)現(xiàn)了涉及華XLive Update Utility的復(fù)雜供應(yīng)鏈攻擊。襲擊發(fā)生在2018年6月至11月之間，根據(jù)我們的遙測(cè)，它影響了大量用戶。

華XLive Update是一種預(yù)裝在大多數(shù)華X電腦上的實(shí)用程序，用于自動(dòng)更新某些組件，如BIOS，UEFI，驅(qū)動(dòng)程序和應(yīng)用程序。根據(jù)Gartner的數(shù)據(jù)統(tǒng)計(jì)，

截至2017年，華X是全球第五大個(gè)人電腦供應(yīng)商。這使得它成為可能希望利用其用戶群的APT組織極具吸引力的目標(biāo)。

根據(jù)我們的統(tǒng)計(jì)數(shù)據(jù)，超過(guò)57,000名卡巴斯基用戶在某個(gè)時(shí)間點(diǎn)下載并安裝了后門(mén)版本的華XLive Update。

我們無(wú)法僅根據(jù)我們的數(shù)據(jù)計(jì)算受影響用戶的總數(shù);?但是，我們估計(jì)問(wèn)題的實(shí)際規(guī)模要大得多，并且可能影響全球超過(guò)一百萬(wàn)用戶。

攻擊的目標(biāo)是手動(dòng)定位一個(gè)未知的用戶池，這些用戶的網(wǎng)絡(luò)適配器的MAC地址已經(jīng)識(shí)別出來(lái)。

為了實(shí)現(xiàn)這一目標(biāo)，攻擊者在木馬化樣本中硬編碼了一個(gè)MAC地址列表，這個(gè)列表用于識(shí)別這個(gè)大規(guī)模操作的實(shí)際預(yù)期目標(biāo)。

我們能夠從這次攻擊中使用的200多個(gè)樣本中提取600多個(gè)唯一的MAC地址。當(dāng)然，可能還有其他樣本在其列表中具有不同的MAC地址。

我們認(rèn)為這是一個(gè)非常復(fù)雜的供應(yīng)鏈攻擊，它在復(fù)雜性和技術(shù)方面與Shadowpad和CCleaner事件相匹配甚至超過(guò)它們。

它長(zhǎng)期未被發(fā)現(xiàn)的原因部分是由于木馬化更新程序是用合法證書(shū)簽署的（例如：“ASUSTeK Computer Inc.”）。

惡意更新程序托管在官方liveupdate01s.asus.com和liveupdate01.asus.com華X更新服務(wù)器上。

木馬化ASUS Live Update設(shè)置安裝程序上的數(shù)字簽名
證書(shū)序列號(hào)：05e6a0be5ac359c7ff11f4b467ab20fc

我們已聯(lián)系華X，并于2019年1月31日向他們通報(bào)了此次攻擊，支持他們對(duì)IOC的調(diào)查以及惡意軟件的描述。

按受影響的ASUS Live Updater分類(lèi)的受害者分布如下：

值得注意的是，這些數(shù)字也受到全球卡巴斯基用戶分布的高度影響。原則上，受害者的分布應(yīng)與全球華X用戶的分布相匹配。

我們還創(chuàng)建了一個(gè)工具，可以運(yùn)行以確定您的計(jì)算機(jī)是否是此攻擊的手術(shù)選擇目標(biāo)之一。為了檢查這一點(diǎn)，它將所有適配器的MAC地址與惡意軟件中硬編碼的預(yù)定義值列表進(jìn)行比較，并在發(fā)現(xiàn)匹配時(shí)發(fā)出警報(bào)。

解決方案

華X的用戶請(qǐng)使用下列工具對(duì)本機(jī)進(jìn)行檢測(cè)

https://kas.pr/shadowhammer

如果彈出下框證明你沒(méi)有被感染

此外，您可以在線檢查MAC地址。

https://shadowhammer.kaspersky.com/

IOC

活動(dòng)中涉及的PDB信息

殺軟報(bào)警名稱

• HEUR:Trojan.Win32.ShadowHammer.gen

域名和IP:

• asushotfix[.]com
• 141.105.71[.]116

分發(fā)更新包的URL:

• hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
• hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
• hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
• hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip

哈希 (Liveupdate_Test_VER365.zip):

• aa15eb28292321b586c27d8401703494
• bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19

我覺(jué)得是美帝干的。

原文鏈接：https://mp.weixin.qq.com/s?__biz=MzAxOTM1MDQ1NA==&mid=2451174790&idx=1&sn=473a27e90750fec4494ee151b40aeef9&chksm=8c25035fbb528a

49767aa4c6edeb077a6af9f61204951816ba0ab0c542b8eedb08e364d20dc0&mpshare=1&scene=1&srcid=0326S3vFmZEdVV

rerIxKm8o1&key=58a327fab9b03b4d6893bd53f9ec39fcd19086fd2942fbb30c91c881fa498a832825fd558e3d7c23adc3bf4c0a

4826a9fd80268d4ce6d5c133f153f0a168eb34d93c72cc090028a7999c3259639d0ab0&ascene=1&uin=MjU3MzMwNDUyMg%

3D%3D&devicetype=Windows+7&version=62060720&lang=zh_CN&pass_ticket=weB5sFyNnwPKSK5IVs9EVYMurB0mw60

YAJNBmWhjeuTNLGTJ9HMVlEzou%2FsLOyxL