【导读】据外媒Motherbord报道,近日,海外一家安全厂商宣布,台湾科技巨头华硕软件更新服务器遭黑客入侵。 公告称,黑客在被入侵的服务器中,将恶意软件伪装为“重要更新”,推送至100多万台Windows计算机。 调查还在进行中,360安全大脑第一时间对此事件进行了监测预警。
360安全大脑第一时间对此事件进行监测分析
阴影锤(ShadowHammer )行动是一起利用华硕更新服务进行的新型供应链攻击,黑客涉嫌入侵华硕更新服务,对官方推送给用户的升级包进行恶意升级
华硕计算机通常默认预装华硕的实时更新实用程序软件,用于更新华硕计算机专用的驱动程序、软件、BIOS和修补程序等,用户使用该软件进行更新
攻击过程分析
据了解,此次供应链攻击分为两个阶段,360安全大脑监控显示,第一阶段用户受到攻击次数达到16.9万次,第二阶段黑客攻击616对目标。
第一个阶段是无差别的大规模攻击,黑客会向所有华硕用户推送恶意更新包,用户安装恶意更新包后会启动黑客植入的恶意代码,进入第二个阶段
第二个阶段是有针对性的攻击。 仅对数百个目标用户,恶意代码获取用户计算机的MAC地址并与数百个MAC地址进行匹配,如果匹配,则连接到黑客服务器以激活更多恶意代码。
攻击的流程图如下。
恶意代码分析
感染恶意代码的升级包使用正规合法华硕签名,根据包签名时间推测,黑客从2018年6月左右开始准备发起攻击。
恶意更新包分为两种:第一种是在包的内部资源中直接隐藏完整的恶意PE文件,分配内存后,直接内存加载,调用winMain主函数启动。
第二,安装软件包资源中隐藏的是shellcode,它被解密并加载到内存中执行。
这两种方式都执行相同功能的代码。 主要功能是通过API GetAdaptersAddresses获取本机网卡的MAC信息,然后调用ntdll计算MAC地址的MD5值。
如果程序与硬编码的MD5值匹配,则进入远程下载过程。
最终访问黑客服务器,下载并运行Shellcode,激活更多恶意代码。
360安全大脑紧急释放华硕ShadowHammer自检工具
针对华硕影槌(ShadowHammer )事件,推出360安全大脑国内首款高危漏洞免疫工具http://dl.360safe.com/leak fixer/360 sysvulterminator.exe,为广大用户提供
国际奥委会
Urls :
3359ASUShotfix[.]com/徽标. jpg
3359ASUShotfix[.]com/徽标2.jpg
pdb path :
d :cASUS shellcodereleaseASUS shellcode.pdb