威胁预警丨华硕软件供应链攻击调查

1.前言

3月25日，国外安全厂家卡巴斯基在一篇博客文章曝光了去年有黑客攻击了华硕实时软件更新工具的服务器，向其植入了木马，由于自动更新机制，无意间导致千台华硕电脑上被安装了恶意后门，针对这一情况安恒威胁情报分析团队展开了调查。

2.样本调查

安恒安全研究团队第一时间拿到其中一个攻击样本（MD5：55a7aa5f0e52ba4d78c145811c830107），该样本包含有正常的数字签名“ASUSTeK Computer Inc.”，其证书的时间是6月20日以后，说明攻击者应该是在2018年6月20日开始进行恶意代码下发。

通过对代码进行逆向分析，发现在运行时函数_crtExitProcess中被植入了恶意的代码。

在该函数中包含大量解密操作后，在内存解密出Shellcode代码，动态计算出所需函数的api地址。

样本会获取电脑的mac地址并对其进行MD5加密

将加密的MD5与程序中内置了一堆硬编码的MD5字符串进行比较，判断是不是黑客攻击的目标。

由于物理地址是程序内置硬编码的地址，所以可以确定攻击者已经提前知道了需要攻击目标的电脑的mac地址。很显然，这是一次目标很强的攻击。

对于不符合黑客攻击的目标的电脑，该恶意程序将在其用户目录下面生产idx.ini的文件并退出，不进行任何恶意操作。

C:\Users\idx.ini

对于符合攻击目标的用户，其从如下格式的服务器下载恶意程序：

"https://asushotfix.com/logo2.jpg?{MD5(mac地址)}"

通过文件威胁分析平台的域名查询功能发现，该域名已经在2018年10月就修改了域名解析。

由于不能下载到第二个链接，后续分析不继续。但是通过静态观察可以判断，它会将接受的数据当代码执行。

3.相关说明

该样本被涉及的被攻击mac的MD5哈希值包含如下：

00B006C7DAB6ACE6C25C3799EB2B6E14

5977BAA3F8CE0CA1C96D6AC9A40C9A91

00B006C7DAB6ACE6C25C3799EB2B6E14

409D8EEBCE8546E56A0AD740667AADBD

7DA42DD34574D4E1A7EA0E708E7BC9A6

ADE62A257ADF118418C5B2913267543E

4268AED64AA5FFF2020D2447790D7D32

7B14C53FD3604CC1EBCA5AF4415AFED5

3A8EA62E32B4ECBE33DF500A28EBC873

CC16956C9506CD2BB389A7D7DA2433BD

FE4CCC64159253A6019304F17102886D

F241C3073A5777742C341472E2D43EEC

4EC2564ACE982DC58C1039BF6D6EA83C

AB0CEF9E5957129E23FBA178120FA20B

F758024E734077C70532E90251C5DF02

F35A60617AB336DE4DAAC799676D07B6

6A62EAD801802A5C9EC828D0C1EDBB5B

600C7B52E7F80832E3CEE84FCEC88B9D

6E75B2D7470E9864D19E48CB360CAF64

FB559BCD103EE0FCB0CF4161B0FAFB19

690AD61EC7859A0964216B66B5D33B1A

09DA9DF3A050AFAD0DF0EF963B41B6E2

FAE3B06AB27F2B0F7C29BF7F2B03F83F

D4B958671F47BF5DCD08705D80DE9A53

备注：由于样本不全，可能还有其他mac地址的情况

4.应对措施

目前华硕已发布版本更新和检测工具，参见：

https://www.asus.com/News/hqfgVUyZ6uyAyJe1

（可通过点击阅读原文的方式前往华硕官网查看更新和检测工具）

5.参考链接

https://securelist.com/operation-shadowhammer/89992/

本文转自安恒应急响应中心

https://www.easyaq.com

▼点击“阅读原文” 查看更多精彩内容