威脅預警丨華碩軟體供應鏈攻擊調查

3月25日，國外安全廠家卡巴斯基在一篇博客文章曝光了去年有黑客攻擊了華碩實時軟體更新工具的伺服器，向其植入了木馬，由於自動更新機制，無意間導致千台華碩電腦上被安裝了惡意後門，針對這一情況安恆威脅情報分析團隊展開了調查。

安恆安全研究團隊第一時間拿到其中一個攻擊樣本（MD5：55a7aa5f0e52ba4d78c145811c830107），該樣本包含有正常的數字簽名「ASUSTeK Computer Inc.」，其證書的時間是6月20日以後，說明攻擊者應該是在2018年6月20日開始進行惡意代碼下發。

通過對代碼進行逆向分析，發現在運行時函數_crtExitProcess中被植入了惡意的代碼。

在該函數中包含大量解密操作後，在內存解密出Shellcode代碼，動態計算出所需函數的api地址。

樣本會獲取電腦的mac地址並對其進行MD5加密

將加密的MD5與程序中內置了一堆硬編碼的MD5字元串進行比較，判斷是不是黑客攻擊的目標。

由於物理地址是程序內置硬編碼的地址，所以可以確定攻擊者已經提前知道了需要攻擊目標的電腦的mac地址。很顯然，這是一次目標很強的攻擊。

對於不符合黑客攻擊的目標的電腦，該惡意程序將在其用戶目錄下面生產idx.ini的文件並退出，不進行任何惡意操作。

C:Usersidx.ini

對於符合攻擊目標的用戶，其從如下格式的伺服器下載惡意程序：

"https://asushotfix.com/logo2.jpg?{MD5(mac地址)}"

通過文件威脅分析平台的域名查詢功能發現，該域名已經在2018年10月就修改了域名解析。

由於不能下載到第二個鏈接，後續分析不繼續。但是通過靜態觀察可以判斷，它會將接受的數據當代碼執行。

該樣本被涉及的被攻擊mac的MD5哈希值包含如下：

00B006C7DAB6ACE6C25C3799EB2B6E14

5977BAA3F8CE0CA1C96D6AC9A40C9A91

00B006C7DAB6ACE6C25C3799EB2B6E14

409D8EEBCE8546E56A0AD740667AADBD

7DA42DD34574D4E1A7EA0E708E7BC9A6

ADE62A257ADF118418C5B2913267543E

4268AED64AA5FFF2020D2447790D7D32

7B14C53FD3604CC1EBCA5AF4415AFED5

3A8EA62E32B4ECBE33DF500A28EBC873

CC16956C9506CD2BB389A7D7DA2433BD

FE4CCC64159253A6019304F17102886D

F241C3073A5777742C341472E2D43EEC

4EC2564ACE982DC58C1039BF6D6EA83C

AB0CEF9E5957129E23FBA178120FA20B

F758024E734077C70532E90251C5DF02

F35A60617AB336DE4DAAC799676D07B6

6A62EAD801802A5C9EC828D0C1EDBB5B

600C7B52E7F80832E3CEE84FCEC88B9D

6E75B2D7470E9864D19E48CB360CAF64

FB559BCD103EE0FCB0CF4161B0FAFB19

690AD61EC7859A0964216B66B5D33B1A

09DA9DF3A050AFAD0DF0EF963B41B6E2

FAE3B06AB27F2B0F7C29BF7F2B03F83F

D4B958671F47BF5DCD08705D80DE9A53

備註：由於樣本不全，可能還有其他mac地址的情況

目前華碩已發布版本更新和檢測工具，參見：

https://www.asus.com/News/hqfgVUyZ6uyAyJe1

（可通過點擊閱讀原文的方式前往華碩官網查看更新和檢測工具）

https://securelist.com/operation-shadowhammer/89992/

本文轉自安恆應急響應中心

https://www.easyaq.com

推薦閱讀：

• C語言居然佔據最不安全語言榜首！哪種語言最安全？

• 攻擊最大鋁業供應商的勒索病毒存在漏洞，學會利用它！

• 供應鏈攻擊｜ASUS Live Update感染後門，影響100多萬用戶

• 有俄羅斯是否干預2016年美國大選調查報告的完整版？假的！

• 美國舉辦大學黑客馬拉松，促進學生、安全行業的發展

• 白帽黑客在Pwn2Own競賽中贏得特斯拉汽車

▼點擊「閱讀原文」 查看更多精彩內容

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！