上个月的今天，卡巴斯基公布了影锤（ShadowHammer）行动，并称这是一起在华硕的升级服务中发现的新型供应链攻击方式，针对特定MAC地址的用户计算机进行感染。此消息一出，迅速刷爆了业界朋友圈。看雪此前也曾对此次事件进行报道：华硕Live Update软件曝漏洞，已有5.7万用户下载

今天，卡巴斯基表示，其在深入调查后发现华硕并非是影锤攻击行动的唯一受害者，至少还有6家其他组织被攻击者渗透。那这个影响如此广泛的新型供应链攻击究竟是什么？让我们一起来回顾一下。

ShadowHammer的攻击者通过入侵华硕（ASUS）用于软件自动更新工具（Live Update Utility软件）的服务器，利用自动更新将恶意后门推送到客户计算机，篡改使用合法证书签署的安装包，在官方给用户推送的升级软件包中加入了恶意代码。同时计算API函数的哈希值，并且在所有恶意样本中广泛使用IPHLPAPI.dll文件。

但ShadowHammer被篡改的二进制文件是使用合法证书签署的，该证书帮助攻击者避免破坏数字签名并标记恶意更新程序。因此，华硕在过去半年以来不知情地为黑客散播包含后门程序的恶意软件到逾五十万台Windows电脑。

图1 被木马攻击的华硕Live Update 二进制文件

第一个阶段是无差别的大规模攻击，黑客针对所有的华硕用户推送恶意升级包，用户安装恶意升级包后都会启动黑客植入的恶意代码，等待进入第二个阶段。

第二个阶段是针对性的定向攻击，只针对数百个目标用户，恶意代码会获取用户机器的MAC地址与数百个MAC地址比对，一旦匹配成功就会连接黑客的服务器激活更多的恶意代码。

图2 定向攻击过程 来自360

在成功入侵受害者系统之后，用作恶意软件删除程序的木马化游戏将首先检查是否有多个流量/处理器监视工具正在运行，或者系统语言是否设置为简体中文或俄语。如果检测到上述任何一项为真，那么后门将会自动停止执行。

图3 木马化二进制文件中的恶意代码执行

如果成功通过了系统审查阶段，恶意软件将开始收集系统信息（网络适配器MAC地址，系统用户名，系统主机名和IP地址，Windows版本，CPU架构，当前主机FQDNm，域名，当前可执行文件名，驱动器C ：卷名称和序列号，屏幕分辨率和系统默认语言ID）

在下一个感染阶段，所有信息都通过HTTP通过POST请求发送到C＆C服务器，然后后门将发送GET请求以接收命令。

发现了以下命令：

DownUrlFile - 将URL数据下载到文件

DownRunUrlFile - 将URL数据下载到文件并执行它

RunUrlBinInMem - 下载URL数据并作为shellcode运行

UnInstall - 设置注册表标志以防止恶意软件启动

UnInstall命令将注册表值HKCU \ SOFTWARE \ Microsoft \ Windows \ {0753-6681-BD59-8819}设置为1，这可防止恶意软件再次与C2联系。没有文件从磁盘中删除，文件应该可以通过取证分析发现。

据悉，华硕并非唯一一家受到影锤攻击和渗透IT基础设施的公司，卡巴斯基还发现其他三家游戏公司也是本次攻击的受害者，包括

• Electronics Extreme：僵尸生存游戏《感染：幸存者故事》（Infestation: Survivor Stories）的开发商

• Innovative Extremist：一家提供Web和IT基础服务的公司，但同时也从事游戏领域的开发

• Zepetto：开发视频游戏《特战先锋》（Point Blank）的韩国游戏公司

除了上述三家游戏公司之外，还发现了三家被成功渗透的企业，包括一家视频游戏开发商、一家综合控股公司和一家制药公司。

攻击还继续存在，暂不清楚还会有多少公司受到了威胁。

为了避免成为已知或未知威胁攻击的受害者，建议用户采取以下措施：

• 除了采取必需的端点保护外，还需要部署企业级安全解决方案，在早期阶段检测网络层面的高级威胁；

• 在端点级别的检测、调查以及事故及时修复方面，建议部署EDR解决方案，或者联系专业的事故响应团队；

• 将威胁情报订阅内容集成到您企业的SIEM和其他安全控制系统中，以便获取到最新的相关威胁数据，为应对未来攻击做好准备。

来源：cnBeta.COM、科技先锋聚焦

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com