<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基网 首页 资讯 安全报 查看内容

                      华硕软件更新服务器遭黑客劫持,自动更新向用户下发恶意程序

                      2019-3-27 17:33| 投稿: lofor |来自: 互联网


                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

                      摘要: 卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;研究人员估计,全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序,但华硕方表示,攻击者只针对其中数百台设备进行攻击,该公司已帮助客户解决了问题,并进行了漏洞修补和服务器更新。

                      一、事件概述

                      卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;研究人员估计,全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序,但华硕方表示,攻击者只针对其中数百台设备进行攻击,该公司已帮助客户解决了问题,并进行了漏洞修补和服务器更新。

                      深信服安全团队捕获到了此次攻击事件中的相关样本,对样本进行了详细的分析,此次攻击事件虽然因为自动更新策略影响了大量用户,但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备,攻击流程如下:

                      二、恶意程序分析

                      1. 该恶意程序盗用了华硕(ASUS)的合法数字证书,从证书的签署时间来看,攻击者是在2018年下半年进行了此次攻击活动:

                      2. 恶意程序中包含了一段?#29992;?#30340;shellcode,通过将该段数据加载到内存中,解密后执行:

                      解密部分如图:

                      3. shellcode执行的功能是通过函数GetAdaptersAddresses获取设备的MAC地址,然后计算其MD5:

                      4. 将计算得到的MD5与程序中硬编码的MD5?#21040;?#34892;匹配,如果匹配成功则连接攻击者的服务器下载恶意代码,执行第二阶段的攻击活动:

                      5. 如果MD5没有与硬编码的值匹配成功,则在C:\Users目录下释放idx.ini文件,随后退出程序:

                      三、解决方案

                      华硕官方回应中给出了检测设备是否受到此次攻击影响和ASUS Live Update的更新,详见:

                      官方回应链接:https://www.asus.com/News/hqfgVUyZ6uyAyJe1

                      诊断工具链接:https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

                      ASUS Live Update更新说明:https://www.asus.com/support/FAQ/1018727/

                      四、IOC

                      URL:

                      https://asushotfix[.]com/logo[.]jpg

                      https://asushotfix[.]com/logo2[.]jpg

                      MD5:

                      55A7AA5F0E52BA4D78C145811C830107

                      *本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM


                      Tag标签: 恶意程序

                      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>



                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


                      鲜花

                      ?#24080;?/a>

                      雷人

                      路过

                      鸡蛋

                      相关阅读

                      最新评论

                       最新
                      返回顶部
                      新疆11选5计算公式