<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      华硕软件更新服务器遭黑客劫持£¬自动更新向用户下发恶意程序

      2019-3-27 17:33| 投稿: lofor |来自: 互联网


      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡

      摘要: 卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕£¨ASUS£©的软件更新服务器曾在去年遭到黑客入侵£¬并以更新的名义在用户的电脑上植入一个恶意程序£»研究人员估计£¬全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序£¬但华硕方表示£¬攻击者只针对其中数百台设备进行攻击£¬该公司已帮助客户解决了问题£¬并进行了漏洞修补和服务器更新¡£

      一¡¢事件概述

      卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕£¨ASUS£©的软件更新服务器曾在去年遭到黑客入侵£¬并以更新的名义在用户的电脑上植入一个恶意程序£»研究人员估计£¬全球约有百万台Windows电脑通过华硕的更新服务器被安装?#30805;?#24847;程序£¬但华硕方表示£¬攻击者只针对其中数百台设备进行攻击£¬该公司已帮助客户解决了问题£¬并进行了漏洞修补和服务器更新¡£

      深信服安全团队捕获到了此次攻击事件中的相关样本£¬对样本进行了详细的分析£¬此次攻击事件虽然因为自动更新策略影响了大量用户£¬但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备£¬攻击流程如下£º

      二¡¢恶意程序分析

      1. 该恶意程序盗用了华硕(ASUS)的合法数字证书£¬从证书的签署时间来看£¬攻击者是在2018年下半年进行了此次攻击活动£º

      2. 恶意程序中包含了一段?#29992;?#30340;shellcode£¬通过将该段数据加载到内存中£¬解密后执行£º

      解密部分如图£º

      3. shellcode执行的功能是通过函数GetAdaptersAddresses获取设备的MAC地址£¬然后计算其MD5£º

      4. 将计算得到的MD5与程序中硬编码的MD5?#21040;?#34892;匹配£¬如果匹配成功则连接攻击者的服务器下载恶意代码£¬执行第二阶段的攻击活动£º

      5. 如果MD5没有与硬编码的值匹配成功£¬则在C:\Users目录下释放idx.ini文件£¬随后退出程序£º

      三¡¢解决方案

      华硕官方回应中给出了检测设备是否受到此次攻击影响和ASUS Live Update的更新£¬详见£º

      官方回应链接£ºhttps://www.asus.com/News/hqfgVUyZ6uyAyJe1

      诊断工具链接£ºhttps£º//dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

      ASUS Live Update更新说明£ºhttps://www.asus.com/support/FAQ/1018727/

      四¡¢IOC

      URL£º

      https://asushotfix[.]com/logo[.]jpg

      https://asushotfix[.]com/logo2[.]jpg

      MD5£º

      55A7AA5F0E52BA4D78C145811C830107

      *本文作者£º深信服千里目安全实验室£¬转载请注明来自FreeBuf.COM


      Tag标签: 恶意程序

      小编推荐£º欲学习电脑技术¡¢系统维护¡¢网络管理¡¢编程开发和安全攻防等高端IT技术£¬请 点击这里 注册账号£¬公开课频道价值万元IT培?#21040;?#31243;免费学£¬让您少走弯路¡¢事半功倍£¬好工作升职?#26377;„¦?/font>



      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      Ðþ»úͼ
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>