天临,紧迫预警:华硕软件更新服务器遭到黑客进犯,超100万用户受影响!,高速铁路

天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路

【导读】据外媒 Motherbord 报导,近来,国外某安全厂商发布布告称,台湾科技巨子华硕软件更新效劳器遭黑客侵略。布告解说,黑客在被侵略的效劳器中,将歹意软件伪装为「要害更新」并向超越 100 万台 Windows 核算机发布推送。查询仍在进行中,安信信任360安全大脑第一时刻针对该事情进行了监测预警。

360安全大脑第一时刻针对该事情监测剖析

影锤(ShadowHammer)举动是一同运用华硕晋级效劳的新式供应链侵犯,黑客疑似侵略操控了华硕的更新效劳,在官方给用户推送的晋级软件包中加入了歹意代码,360高档要挟应对团队在侵犯事情曝光后雷峰塔第一时刻进行了跟进剖析。

华硕电脑天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路一般都默许预装了华硕的Live Update Utility软件,用于更新华硕电脑专用的驱动、软件、BIOS和补丁等,用户在运用该软件更新时可能会装置植入后门程序的软件更新包。

侵犯流程剖析

此次的供应链侵犯分为两个阶段,360安全大脑监测发现第一阶段用户受侵犯次数高达16.9万次,第二阶活佛虹化飞走的视频段黑客针对性陶华碧侵犯了616组方针。

天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路
符瑶全国
摩根巨龙
天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路

第一个阶段是无差别的大规模侵犯,黑客针对一切的华硕用户推送歹意晋级包,用户装置歹意晋级包后都会发动黑客植入的歹意代码,等候进入第二个阶段。

第二个阶段是针游戏姓名女对性的定向侵犯,只针对数百个方针用户,歹意代码counter会获取用户机器的M干妹妹AC地址与数百个MAC地址比对,一旦匹配成功就会衔接黑客的效劳器激活更多的歹意代码。韩庚姚星彤晒结婚证

侵犯流程图如下:

歹意代码剖析

被歹意代码感染的晋级软件包运用正规合法的华硕四君子汤签名签注,经过软件包签名时刻估测,黑客从2018年6月左右就开端准备主张侵犯。

歹意更新程序包菲密丽分为2种,第一种在装置包的内部资源直接躲藏了完好的歹意PE文件,在分配内存后直接内存加载调用winMain中的主函数发动。

第二种在装置天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路包的资源中躲藏的是shellcode,这段shellcode 经过解密后加载到内存中履行。

这两种办法都会严歌苓履行相同功用的代码,主要功用是经过API GetAdaptersAddresses获取本机网卡的MAC信息,之后调用ntdll核算MAC地址的MDdooge5值。

假如匹配程序硬编码的MD5数值,则进入长途下载流程。

最天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路终拜访黑客的效劳器,下载Shellcode履行,以激活更多的歹意代码。

360安全大脑急迫发布华硕影锤自检东西天临,急迫预警:华硕软件更新效劳器遭到黑客侵犯,超100万用户受影响!,高速铁路

针对华硕影锤(ShadowHammer)事情,360安全大脑国内首家发布高危缝隙免疫东西http://dl.360safe.com/leakfixer/360SysVulTerminato皋比兰的饲养办法和注意事项r.江蕙exe主张广阔用户,抓住下载自查。

IOCs

Urls:

https://asushotfix[.]com/logo.jpg

https://asushotfix[.]com/logo2.jpg

pdb path:

D:C++AsusShellC墨黑花odeReleaseAsusShellCode.pdb

了解更多世界安全资讯

华硕 360 科归来技
微小宝
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。