在收到 ASUS Live Update 的更新提示后，王尼瑪沒有多加思索便按下了“確認(rèn)”鍵。在這之后，它的電腦算是徹底黑化了。

當(dāng)然，黑化了的設(shè)備并非這一臺(tái)。3月26日，卡巴斯基實(shí)驗(yàn)室報(bào)告稱華碩遭遇了一起利用ASUS Live Update（華碩升級(jí)應(yīng)用程序）的供應(yīng)鏈攻擊，黑客以程序更新的名義向用戶電腦發(fā)布偽裝成“更新項(xiàng)”的惡意病毒，初步估計(jì)受影響用戶將超過百萬。

影錘行動(dòng)

此次攻擊行動(dòng)又被稱作ShadowHammer（影錘），其最早攻擊活動(dòng)時(shí)間可追溯到2018年6月至11月。

影錘攻擊的第一步就是篡改 ASUS Live Update 。攻擊者在更新程序中添加了隱蔽的后門程序，并且使用與原文件極其相似的惡意程序替代前者。

其具體攻擊步驟如下：

1、無差別攻擊階段——黑客針對(duì)所有的華碩用戶推送惡意升級(jí)包，用戶安裝惡意升級(jí)包后會(huì)啟動(dòng)黑客植入的惡意代碼，并等待進(jìn)入第二階段；

2、針對(duì)性攻擊階段——攻擊者通過手動(dòng)定位一個(gè)位置的用戶池，只針對(duì)數(shù)百個(gè)目標(biāo)用戶識(shí)別出其網(wǎng)絡(luò)配置器的MAC地址，一旦鎖定目標(biāo)用戶就會(huì)連接黑客的服務(wù)器激活更多的惡意代碼；

（注：為了達(dá)到上述目標(biāo)，攻擊者在木馬病毒樣本中硬編碼了一個(gè)MAC地址列表，以此識(shí)別大多數(shù)實(shí)際目標(biāo)。在用戶啟動(dòng)更新程序后，攻擊會(huì)使用200個(gè)攻擊樣本挑選出600多個(gè)實(shí)際攻擊對(duì)象的MAC地址。）

攻擊流程圖如下：

據(jù)分析，惡意程序包被分為兩種，一種在安裝包的內(nèi)部資源直接隱藏了完整的惡意PE文件，在分配內(nèi)存后直接內(nèi)存加載調(diào)用winMain中的主函數(shù)啟動(dòng)；另一種在安裝包的資源中隱藏的是shellcode，經(jīng)過解密后加載到內(nèi)存中執(zhí)行。

據(jù)卡巴斯基統(tǒng)計(jì)，受害用戶大多來自俄羅斯、德國及法國，分別占了大約18%、16%、12%，而美國地區(qū)中招的用戶只有5%左右。由此可見，此次攻擊僅針對(duì)少數(shù)特定對(duì)象，并非針對(duì)一般消費(fèi)者。

華碩在回應(yīng)中稱：“目前只有筆記本（notebook）版本的Live Update會(huì)受到影響?！?/p>

超級(jí)“偽裝者”

時(shí)隔一年，為何最近才發(fā)現(xiàn)這起攻擊呢？顯然，要想對(duì)付華碩這樣的廠商，攻擊者們沒有兩把刷子是不行的。

實(shí)際上，影錘攻擊的執(zhí)行十分隱蔽。

據(jù)信，黑客可以獲得華碩自己的證書，通過華碩龐大的供應(yīng)鏈簽署惡意軟件。這些供應(yīng)鏈廠商及開發(fā)者來來自于世界各地，由于其直接針對(duì)業(yè)內(nèi)人士或直接滲透到公司內(nèi)部，此類攻擊尤其難以察覺。

通過這種使用代碼簽名證書隱藏惡意組件的方法，攻擊者很容易的躲過了各類審查機(jī)制。據(jù)悉，該后門原理與CCleaner相似，而后者在當(dāng)時(shí)成功攻擊了約230萬客戶，其目標(biāo)大多為科技巨頭。

惡意更新程序托管在官方liveupdate01s.asus.com和liveupdate01.asus.com華碩更新服務(wù)器上。而為了防止惡意病毒被辨認(rèn)出，攻擊者特意將惡意文件大小修改的與正常版文件一樣，并且使用了合法的認(rèn)證證書。

不得不說，影錘攻擊是實(shí)至名歸的超級(jí)“偽裝者”。

受害者并非一家

除了華碩之外，卡巴斯基實(shí)驗(yàn)室報(bào)告中還同時(shí)提到了另外的幾家公司幾乎遭受了與上述情況一致的攻擊，可以斷定執(zhí)行攻擊的是同一APT組織。目前，卡巴斯基實(shí)驗(yàn)室并未在報(bào)告中提及其他廠商的名字，而華碩也尚未查明遭受攻擊的具體原因。

慶幸的是，華碩已經(jīng)推出了 Live Update 工具的 3.6.8 版本修復(fù)了上述問題。其原理是通過添加大量安全檢查機(jī)制，更新或其它方法攔截“惡意操縱”。為了能夠攔截進(jìn)一步的攻擊，華碩公司表示，“更新并增強(qiáng)了我們的服務(wù)器對(duì)終端用戶軟件的架構(gòu)?！?/p>

此外，華碩還表示會(huì)提供可下載的“在線安全診斷工具”供客戶查看自己的計(jì)算機(jī)是否受到了APT組織的活動(dòng)影響。并建議一旦發(fā)現(xiàn)問題立刻恢復(fù)成出廠設(shè)置，經(jīng)常更換密碼。

在昨天的回應(yīng)中華碩表示，由于此次攻擊目的性較強(qiáng)，為針對(duì)供應(yīng)鏈層面的攻擊類型。據(jù)統(tǒng)計(jì)，目前受到影像的用戶僅在百名左右，但這并不意味著攻擊范圍不會(huì)進(jìn)一步擴(kuò)散，因此引起用戶警惕是有必要的。

參考來源：國際安全智庫；代碼衛(wèi)士；藍(lán)點(diǎn)網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。