華碩電腦遭遇供應(yīng)鏈攻擊（影錘）

2019-03-28 12:48 作者:流星-華星安科 0人讀過 | 我要投稿

各位下午好,今天是 2019.3.28 ；主要內(nèi)容有：華碩電腦遭遇供應(yīng)鏈攻擊

在收到 ASUS Live Update 的更新提示后，王尼瑪沒有多加思索便按下了“確認(rèn)”鍵。在這之后，它的電腦算是徹底黑化了。

當(dāng)然，黑化了的設(shè)備并非這一臺。3月26日，卡巴斯基實驗室報告稱華碩遭遇了一起利用ASUS Live Update（華碩升級應(yīng)用程序）的供應(yīng)鏈攻擊，黑客以程序更新的名義向用戶電腦發(fā)布偽裝成“更新項”的惡意病毒，初步估計受影響用戶將超過百萬。

影錘行動

此次攻擊行動又被稱作ShadowHammer（影錘），其最早攻擊活動時間可追溯到2018年6月至11月。

影錘攻擊的第一步就是篡改 ASUS Live Update 。攻擊者在更新程序中添加了隱蔽的后門程序，并且使用與原文件極其相似的惡意程序替代前者。

其具體攻擊步驟如下：

1、無差別攻擊階段——黑客針對所有的華碩用戶推送惡意升級包，用戶安裝惡意升級包后會啟動黑客植入的惡意代碼，并等待進(jìn)入第二階段；

2、針對性攻擊階段——攻擊者通過手動定位一個位置的用戶池，只針對數(shù)百個目標(biāo)用戶識別出其網(wǎng)絡(luò)配置器的MAC地址，一旦鎖定目標(biāo)用戶就會連接黑客的服務(wù)器激活更多的惡意代碼；

（注：為了達(dá)到上述目標(biāo)，攻擊者在木馬病毒樣本中硬編碼了一個MAC地址列表，以此識別大多數(shù)實際目標(biāo)。在用戶啟動更新程序后，攻擊會使用200個攻擊樣本挑選出600多個實際攻擊對象的MAC地址。）

攻擊流程圖如下：

據(jù)分析，惡意程序包被分為兩種，一種在安裝包的內(nèi)部資源直接隱藏了完整的惡意PE文件，在分配內(nèi)存后直接內(nèi)存加載調(diào)用winMain中的主函數(shù)啟動；另一種在安裝包的資源中隱藏的是shellcode，經(jīng)過解密后加載到內(nèi)存中執(zhí)行。

據(jù)卡巴斯基統(tǒng)計，受害用戶大多來自俄羅斯、德國及法國，分別占了大約18%、16%、12%，而美國地區(qū)中招的用戶只有5%左右。由此可見，此次攻擊僅針對少數(shù)特定對象，并非針對一般消費者。

華碩在回應(yīng)中稱：“目前只有筆記本（notebook）版本的Live Update會受到影響?！?/p>

超級“偽裝者”

時隔一年，為何最近才發(fā)現(xiàn)這起攻擊呢？顯然，要想對付華碩這樣的廠商，攻擊者們沒有兩把刷子是不行的。

實際上，影錘攻擊的執(zhí)行十分隱蔽。

據(jù)信，黑客可以獲得華碩自己的證書，通過華碩龐大的供應(yīng)鏈簽署惡意軟件。這些供應(yīng)鏈廠商及開發(fā)者來來自于世界各地，由于其直接針對業(yè)內(nèi)人士或直接滲透到公司內(nèi)部，此類攻擊尤其難以察覺。

通過這種使用代碼簽名證書隱藏惡意組件的方法，攻擊者很容易的躲過了各類審查機制。據(jù)悉，該后門原理與CCleaner相似，而后者在當(dāng)時成功攻擊了約230萬客戶，其目標(biāo)大多為科技巨頭。

惡意更新程序托管在官方liveupdate01s.asus.com和liveupdate01.asus.com華碩更新服務(wù)器上。而為了防止惡意病毒被辨認(rèn)出，攻擊者特意將惡意文件大小修改的與正常版文件一樣，并且使用了合法的認(rèn)證證書。

不得不說，影錘攻擊是實至名歸的超級“偽裝者”。

受害者并非一家

除了華碩之外，卡巴斯基實驗室報告中還同時提到了另外的幾家公司幾乎遭受了與上述情況一致的攻擊，可以斷定執(zhí)行攻擊的是同一APT組織。目前，卡巴斯基實驗室并未在報告中提及其他廠商的名字，而華碩也尚未查明遭受攻擊的具體原因。

慶幸的是，華碩已經(jīng)推出了 Live Update 工具的 3.6.8 版本修復(fù)了上述問題。其原理是通過添加大量安全檢查機制，更新或其它方法攔截“惡意操縱”。為了能夠攔截進(jìn)一步的攻擊，華碩公司表示，“更新并增強了我們的服務(wù)器對終端用戶軟件的架構(gòu)?！?/p>