华硕用户遭遇黑客攻击：50万服务器被劫持，如何防范？

安全防护不到位，华硕心里两行泪！最近科技巨头华硕也被黑客盯上了，黑客通过自动软件更新工具将恶意软件推向了数十万名客户！

近日，网络安全公司Kaspersky实验室的研究人员表示，全球最大的计算机制造商之一华硕在去年遭到了入侵，攻击者劫持了华硕的实时软件更新服务器，在无人知晓的情况下在数千名客户的计算机上安装了恶意后门。

Kaspersky实验室表示，这些恶意文件经过了华硕数字证书的合法签名，所以看起来与该公司的软件更新并没有差别。

超50万华硕用户中招，软件链安全威胁日益加剧

华硕是一家总部位于中国台湾地区价值数十亿美元的计算机硬件公司，生产台式电脑、笔记本电脑、移动电话、智能家居系统以及其他电子设备。根据莫斯科安全公司的研究，去年在被发现之前，华硕至少已经向客户推送后门长达五个月的时间。

据研究人员估计，已有近50万台Windows计算机通过华硕更新服务接收了恶意后门，尽管攻击者似乎只攻击了其中大约600台计算机。恶意软件通过唯一的MAC地址搜索目标系统，一旦发现目标系统，恶意软件就会联系攻击者控制的服务器，然后在这些目标计算机上安装其他恶意软件。

Kaspersky实验室表示，他们在今年1月份发现了这一攻击，因为他们在扫描工具中添加了一种新的供应链检测技术，可以捕捉隐藏在合法代码中的异常代码片段，或者捕捉在电脑上劫持正常操作的代码。他们计划在下个月新加坡举行的安全分析师峰会上，发布一份关于华硕这次攻击完整的技术文件和演示文稿，并将这种攻击命名为“ShadowHammer”。

“我们发现来自华硕实时更新服务的更新补丁已被植入木马或恶意更新，这些恶意软件上有华硕的签名。”

这个问题凸显了供应链攻击的威胁日益加剧，恶意软件或组件的安装有可能发生在系统制造或组装的过程中，也有可能在这之后通过用户信赖的供应商渠道进行安装。

近年来，在发现了一系列供应链攻击后，美国于去年成立了一个供应链工作组来审查这个问题。尽管有关供应链攻击的关注大多集中在制造过程中将恶意软件添加到硬件或软件，但对于攻击者来说，在计算机出售后，通过供应商软件更新安装恶意软件的方式更为理想，因为用户信任供应商的更新，特别是如果这些恶意软件上带有供应商的合法数字证书签名。

Kaspersky实验室全球研究和分析团队亚太区总监Vitaly Kamluk表示：“此次攻击表明，带有知名供应商名称和数字签名验证的信任模式也无法保证你不会受到恶意软件的攻击。”他指出，研究人员在1月份联系了华硕，但华硕否认其服务器遭到入侵，也否认了恶意软件来自其网络。但Kamluk表示，Kaspersky收集到的恶意软件样本的下载路径直指华硕的服务器。

华硕仍未回应安全风波

上周四，外媒Motherboard通过三封邮件向华硕发送了由Kaspersky提供的索赔清单，但没有收到华硕的回复。

然而，上周五美国安全公司赛门铁克证实了Kaspersky的调查结果（Motherboard询问该公司是否有客户也收到了恶意下载时，得到了肯定的答复）。赛门铁克仍在调查此事，但其在电话中称，至少有13,000台赛门铁克的客户计算机去年感染了华硕的恶意软件更新。赛门铁克安全技术和响应小组开发主管Liam O'Murchu说：“我们发现来自华硕实时更新服务的更新补丁已被植入木马或恶意更新，这些恶意软件上有华硕的签名。”

这不是第一次攻击者利用客户信赖的软件更新来感染系统。第一个通过这种伎俩攻击用户的恶意软件是由Stuxnet背后的一些攻击者开发的臭名昭著的Flame（超级火焰）病毒，它通过劫持微软的Windows更新来感染计算机。2012年，有人发现Flame病毒带有未经授权的微软证书签名，攻击者通过欺骗微软系统得到了这些签名。

然而，Flame病毒并没能真正劫持微软的更新服务器来传播病毒。相反，他们能够重定向目标客户计算机上的软件更新工具，让这些计算机连接到攻击者控制的恶意服务器，而不是合法的微软更新服务器上。

2017年还发现了另外两起劫持用户信赖的软件更新的攻击。其中一个入侵了计算机安全清理工具CCleaner，通过软件更新向客户散播恶意软件，超过200万用户在发现之前收到了恶意更新。另一起事件是臭名远播的notPetya攻击，该攻击始于乌克兰，通过一个会计软件的恶意更新感染计算机。

Kaspersky全球研究和分析团队的总监Costin Raiu表示，此次华硕的攻击与其他攻击不同。他说：“我认为此次攻击在复杂性和隐秘性方面的水平都很高，因此比之前的攻击更胜一筹。通过过滤MAC地址进行精确定位是此次攻击长期未被发现的原因之一。如果你不是攻击目标，那么就无法发现该恶意软件。”

然而，即便该恶意软件在非目标系统上会保持隐匿，但仍然会在每个受到感染的华硕系统中植入攻击者的后门。

黑客在下一盘大棋？攻击过程详解

互联网安全中心高级副总裁Tony Sager曾在美国国家安全局从事多年的防御性漏洞分析工作，他表示攻击者选择目标计算机的这种方法很奇怪。他在电话中对Motherboard说：“供应链攻击属于严重级别的攻击，表明有人对此非常谨慎并做了周密的规划。但是，通过一些手段在数万台计算机中选中几十个目标进行攻击，那就意味着他们在筹划很大的阴谋。”

Kaspersky的研究人员于1月29日首次在客户机器上检测到了该恶意软件。随后他们通过签名在其他客户的系统上查找恶意更新文件，最终他们发现超过57,000名Kaspersky客户感染了该病毒。然而，这只是Kaspersky的客户。Kamluk说，实际的数字可能高达数十万。

大多数受感染的Kaspersky客户的计算机都位于俄罗斯（约占18%），其次是德国和法国，只有5%受感染的Kaspersky客户在美国。赛门铁克的O'Murchu表示，其公司受感染的客户计算机约有13,000台，其中15%位于美国境内。

Kamluk表示，Kaspersky于1月31日通知了华硕这个问题，并于2月14日亲自与华硕会面。但他表示，此后华硕没有任何反应，也未向华硕的客户通报该问题。

攻击者使用了两种不同的华硕数字证书来签署他们的恶意软件。第一个在2018年年中过期了，随后攻击者切换到了第二个合法的华硕证书，并在此后一直利用该证书签署他们的恶意软件。

Kamluk表示，在Kaspersky通知了华硕该问题之后，他们仍然在使用其中一个受到劫持的证书签署自家的文件，直到一个月后才停止。然而，Kamluk表示，华硕仍然没有取缔两个遭到劫持的证书，这意味着攻击者或其他有权访问的人仍然可以利用这个未过期的证书来签署恶意文件，而且所有计算机都会将这些文件视为合法的华硕文件。

华硕“三而竭”：安全问题岂可休？

这不是第一次华硕被指控损害客户的安全性。

2016年，有人发现华硕的路由器、云备份存储和固件更新工具中存在的多个漏洞，攻击者可以利用这些漏洞访问客户的文件和路由器登录证书等等，但华硕针对这些问题提交了虚假陈情并采取了不公正的安全措施，美国联邦贸易委员会为此对华硕提出了指控。美国联邦贸易委员声称，在华硕修复这些漏洞并通知用户之前，这些漏洞已经持续了至少一年的时间，将近百万美国路由器所有者置于被攻击的风险之中。为了解决此案，华硕同意建立并维护一项全面的安全计划，并且该计划将接受20年的独立审查。

华硕去年生产的笔记本电脑和其他设备上安装了包含恶意软件的华硕实时更新工具。一旦用户激活该更新工具，它就会定期连接华硕的更新服务器，查看是否有固件或其他软件的更新。

“他们想要攻击非常具体的目标，他们提前就已经知道了这些目标的网卡MAC地址，这非常有意思。”

通过华硕的更新工具推送到客户电脑的恶意文件名称为setup.exe，据称是对更新工具本身的更新。实际上，这是一个从2015年起就开始使用的更新程序，在使用合法的华硕证书签名前就被攻击者注入了恶意代码，距今已有三年的历史了。根据Kaspersky实验室所说，攻击者在2018年6月-11月期间将该恶意文件推向了用户。Kamluk表示，攻击者使用带有当前证书的旧二进制文件，这表明攻击者访问了华硕签署文件的服务器，但没有访问编译新文件的构建服务器。

Kamluk指出，由于攻击者每次都使用了同一个华硕的二进制文件，因此表明他们无法访问华硕的整体基础设施，只能够访问签名服务器。在恶意软件散播期间，合法的华硕软件更新也会被推送到用户，但这些合法的更新是使用的是不同的证书进行签名，该证书使用了增强模式的验证保护，Kamluk说，这增加了恶意软件欺骗用户的难度。

Kaspersky的研究人员从客户电脑上收集了200多个恶意文件的样本，他们发现这种攻击分多个阶段且有针对性。

这些恶意样本中嵌入了硬编码的MD5哈希值，结果证明是网卡的唯一MAC地址。MD5是一种算法，可以通过运行算法创建数据的加密表示。每个网卡都有一个制造商分配的唯一ID或地址，而攻击者为每个想要查找的MAC地址创建了哈希值，然后将这些哈希硬编码到恶意文件，如此一来就很难看清楚恶意软件的行为。该恶意软件包含了600个唯一的MAC地址，尽管他们的攻击目标数量可能大于这个数字。因为Kaspersky只能看到从客户的机器上发现的特定恶意软件样本中硬编码的MAC地址。

Kaspersky的研究人员能够破解他们发现的大多数哈希值，找出确切的MAC地址，这可以帮助他们找到安装在受害者电脑上的网卡，但并不能找到受害者本人。一旦恶意软件感染某台计算机，它就会从该计算机的网卡中收集MAC地址，对其进行哈希处理，并将该哈希值与恶意软件中硬编码的哈希值进行比较。如果发现MAC地址与600个目标地址中的任何一个匹配，该恶意软件就会连接到asushotfix.com，该网站伪装成了合法的华硕网站，然后将第二阶段的后门下载到该计算机上。由于只有少量电脑与攻击者管控的服务器进行了连接，因此恶意软件不易被发现。

Kamluk说：“他们并没有尽可能地针对更多用户。他们想要攻击非常具体的目标，他们提前就已经知道了这些目标的网卡MAC地址，这非常有意思。”

赛门铁克的O'Murchu表示，他不清楚是否还有其他客户的MAC地址出现在攻击目标列表上，并接收到了第二阶段的后门。

提供第二阶段后门的控制服务器是于去年5月3日注册的，但于去年11月在Kaspersky发现该攻击之前就关闭了。因此，研究人员未能获取推送给受害者的第二阶段后门的代码副本，也无法识别都有哪些受害者的计算机连接了该服务器。Kaspersky认为，去年10月29日，有一名俄罗斯的客户连接了该控制服务器并感染了第二阶段的后门，但Raiu表示他们不知道该计算机所有者的身份，也无法联系这个人并展开进一步的调查。

无奈的华硕用户

有关恶意的华硕更新推向客户的早期的迹象是：2018年6月，一些人在Reddit论坛上发布了一条关于可疑的华硕警告的评论，他们说他们的计算机上弹出了一条“关键”的更新，警告上说：“华硕强烈建议你即刻安装这些更新。”

一位名叫GreyWolfx的用户在一篇名为“ASUSFourceUpdater.exe想做一些神秘的更新，却没有说具体内容”的帖子中写道，“今天有一个.exe弹出了一个我从未见过的更新窗口……我有点好奇，有人知道这个更新是干什么的吗？”

当他和其他用户点开了华硕的更新工具，想了解有关该更新的信息时，却发现更新工具显示近期华硕没有发布更新。但由于该文件带有华硕的数字证书签名，而且VirusTotal网站的文件扫描表明它不是恶意文件，因此许多人以为该更新是合法的，并将其下载到了他们的计算机上。VirusTotal是一个汇聚了数十个防病毒程序的网站，用户可以将可疑文件上传到该网站，检查是否有工具检测发现该文件是恶意文件。

一位用户写道：“我将这个可执行文件上传到了VirusTotal，结果证明它是一个有效签名的文件，没有任何问题。警告中‘强制’一词的拼写方式和空空的详细内容确实很奇怪，但我发现系统上安装的其他华硕软件也存在奇怪的语法错误，所以这也算不上确凿的证据。”

Kamluk和Raiu说，这可能不是ShadowHammer攻击者的第一次袭击。他们表示，他们发现此次华硕的攻击与以前Kaspersky发现的ShadowPad团队的攻击有相似之处。ShadowPad针对的是一家韩国公司，该公司主要开发管理服务器的企业软件。该团伙还与CCleaner攻击有关，在CCleaner攻击中，虽然有数以百万计的电脑感染了恶意的CCleaner软件更新，但只有一部分被植入了第二阶段的后门，与此次的华硕受害者非常类似。值得注意的是，华硕系统本身就在CCleaner攻击列表之中。

Kaspersky的研究人员认为，ShadowHammer攻击者是ShadowPad和CCleaner攻击的幕后黑手，通过CCleaner攻击获得了对华硕服务器的访问权限。

Raiu说：“华硕是CCleaner攻击的主要目标之一。有一种可能性是：最初他们入侵了华硕的网络，然后设法利用访问权限向华硕发起攻击。”

本文由CSDN翻译自：

https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers。

译者弯月，责编郭芮，如需转载，请注明来源出处。