<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      华硕软件更新服务器遭黑客劫持,自动更新向用户下发恶意程序

      2019-3-27 17:33| 投稿: lofor |来自: 互联网


      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

      摘要: 卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;研究人员估计,全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序,但华硕方表示,攻击者只针对其中数百台设备进行攻击,该公司已帮助客户解决了问题,并进行了漏洞修补和服务器更新。

      一、事件概述

      卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕(ASUS)的软件更新服务器曾在去年遭到黑客入侵,并以更新的名义在用户的电脑上植入一个恶意程序;研究人员估计,全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序,但华硕方表示,攻击者只针对其中数百台设备进行攻击,该公司已帮助客户解决了问题,并进行了漏洞修补和服务器更新。

      深信服安全团队捕获到了此次攻击事件中的相关样本,对样本进行了详细的分析,此次攻击事件虽然因为自动更新策略影响了大量用户,但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备,攻击流程如下:

      二、恶意程序分析

      1. 该恶意程序盗用了华硕(ASUS)的合法数字证书,从证书的签署时间来看,攻击者是在2018年下半年进行了此次攻击活动:

      2. 恶意程序中包含了一段?#29992;?#30340;shellcode,通过将该段数据加载到内存中,解密后执行:

      解密部分如图:

      3. shellcode执行的功能是通过函数GetAdaptersAddresses获取设备的MAC地址,然后计算其MD5:

      4. 将计算得到的MD5与程序中硬编码的MD5?#21040;?#34892;匹配,如果匹配成功则连接攻击者的服务器下载恶意代码,执行第二阶段的攻击活动:

      5. 如果MD5没有与硬编码的值匹配成功,则在C:\Users目录下释放idx.ini文件,随后退出程序:

      三、解决方案

      华硕官方回应中给出了检测设备是否受到此次攻击影响和ASUS Live Update的更新,详见:

      官方回应链接:https://www.asus.com/News/hqfgVUyZ6uyAyJe1

      诊断工具链接:https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

      ASUS Live Update更新说明:https://www.asus.com/support/FAQ/1018727/

      四、IOC

      URL:

      https://asushotfix[.]com/logo[.]jpg

      https://asushotfix[.]com/logo2[.]jpg

      MD5:

      55A7AA5F0E52BA4D78C145811C830107

      *本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM


      Tag标签: 恶意程序

      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>



      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>
              一般几点买彩票容易中 湖南幸运赛车走势图 河南快3开奖基本走势 上出特码下必出平特肖 福彩开奖最快 一起十三水作弊器 七星彩17045期规律图 东方6+1投注额少 怎么会有极速时时彩 河南十一选五前三组技巧 幸运飞艇是假彩票嘛 香港一肖中特免费公开资料 广东彩票中奖怎么领 福彩浙江快乐12在线 中国福彩网3d走势图