首页 > 娱乐 > 海尔网上娱乐 - 供应链攻击|ASUS Live Update感染后门,影响100多万用户

海尔网上娱乐 - 供应链攻击|ASUS Live Update感染后门,影响100多万用户

卡巴斯基实验室发现它被安装后门,目前已影响超过100万用户。据外媒报道,卡巴斯基实验室于2019年1月检测到新的apt攻击事件,预计攻击在2018年6月至11月期间进行,据称已影响到100多万下载了asus live update utility的用户。great表示,卡巴斯基已于1月31日联系华硕,向他们通报了针对asus live update工具的供应链攻击,同时也提供了攻击中使用的恶意软件

2020-01-10 16:15:05

海尔网上娱乐 - 供应链攻击|ASUS Live Update感染后门,影响100多万用户

海尔网上娱乐,更多全球网络安全资讯尽在e安全官网www.easyaq.com

小编来报:asus live update是一款预装在大多数华硕电脑上的实用工具,用于自动更新如bios、uefi、驱动程序和应用程序。卡巴斯基实验室发现它被安装后门,目前已影响超过100万用户。

据外媒报道,卡巴斯基实验室于2019年1月检测到新的apt攻击事件,预计攻击在2018年6月至11月期间进行,据称已影响到100多万下载了asus live update utility的用户。

卡巴斯基实验室的全球研究与分析(great)团队将这一攻击命名为shadowhammer,它导致了逾5.7万卡巴斯基用户下载并安装了带后门的asus live update。

great在报告中表示,asus live update是一款预装在大多数华硕电脑上的实用工具,用于自动更新如bios、uefi、驱动程序和应用程序。根据gartner的数据,到2017年,华硕是全球第五大个人电脑销售商,这使得它成为了apt组织的目标。

shadowhammer受害者分布图

受感染的asus live update二进制文件有多个版本,每个版本都针对未知的用户池,这些用户由网络适配器的mac地址识别。

shadowhammer背后的攻击者使用硬编码的mac地址列表来检测后门是否安装在命中列表中mac地址的机器上,卡巴斯基从这次攻击中使用的200多个样本中收集了600个mac地址。

如果mac地址匹配,恶意软件就会下载下一阶段的恶意代码。研究人员发现,渗透进来的更新程序并没有显示出任何网络活动。

第二阶段的后门从位于asushotfix[.]com的命令和控制服务器下载。该服务器在去年11月就已被关闭,因此无法获得恶意软件样本。

卡巴斯基的研究人员还发现,受感染的asus live update安装程序使用合法的“asustek computer inc.”的数字签名,这些证书“托管在liveupdate01s.asus[.]com和liveupdate01.asus[.]com华硕更新服务器上。”

带后门的asus live update安装程序签名证书

卡巴斯基表示,shadowhammer中使用的方法与针对ccleaner和2017年netsarang的shadowpad供应链攻击中使用的方法相似。

great表示,卡巴斯基已于1月31日联系华硕,向他们通报了针对asus live update工具的供应链攻击,同时也提供了攻击中使用的恶意软件以及ioc的详细信息。尽管华硕已被告知此次攻击,但它没有与卡巴斯基保持积极的沟通,也没有向华硕用户发出警告。

此外,卡巴斯基为想要确认电脑是否受到shadowhammer影响的用户提供了离线实用程序和在线web检查器。

注:本文由e安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读:

有俄罗斯是否干预2016年美国大选调查报告的完整版?假的!

美国举办大学黑客马拉松,促进学生、安全行业的发展

白帽黑客在pwn2own竞赛中赢得特斯拉汽车

美国联邦应急管理局泄露了230万灾难幸存者的个人信息

超过10万个github repos泄露了api或加密密钥

删除手机数据并不能让你远离网络罪犯

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小e哦!

相关推荐

© Copyright 2018-2019 gtiffany.com 石梁信息门户网 Inc. All Rights Reserved.