بعد تلقي التحديث ASUS الفوري لايف تحديث وانغ نعمة الضغط على أي Duojiasisuo على زر "موافق". بعد ذلك، فإنه يمكن اسودت كمبيوتر تماما.

بطبيعة الحال، فإن اسوداد هذه المعدات ليست تايوان. 26 مارس، ذكرت كاسبرسكي لاب أن آسوس اجه باستخدام ASUS لايف التحديث (تطبيقات ASUS ترقية) هجمات سلسلة التوريد، هاكر في اسم التحديث البرنامج صدر متنكرا في زي "البند تحديث" الفيروسات الخبيثة إلى جهاز الكمبيوتر الخاص بالمستخدم وتشير تقديرات أولية أكثر من سيتأثر من مليون مستخدم.

العمل مطرقة الظل

كما دعا ShadowHammer (الظل المطرقة) الهجوم، أقرب هجماتها التي يعود تاريخها إلى يونيو 2018 إلى نوفمبر.

الخطوة الأولى هي العبث هجوم الظل مطرقة ASUS لايف التحديث. وأضاف مهاجم التحديثات مستتر السرية، واستخدام الملف الأصلي البرامج الخبيثة مشابهة جدا استبدال السابق.

خطوات هجوم محددة هي كما يلي:

1، والهجمات مرحلة غير متمايزة - القراصنة الخبيثة لدفع حزمة الترقية لجميع المستخدمين ASUS، بعد تثبيت حزمة الترقية تبدأ الخبيثة القراصنة زرع الشيفرات الخبيثة، وتنتظر لدخول المرحلة الثانية.

2، واستهدف هجوم المرحلة - مهاجم تحديد موقع المستخدم مواقف بركة، سوى عنوان MAC الذي يحدد مكون شبكة لمئات المستخدمين المستهدفين يدويا، وبمجرد أن المستخدم المستهدف سيربط الخادم لتفعيل القراصنة إضافية الشيفرات الخبيثة.

(ملاحظة: من أجل تحقيق هذه الأهداف، المهاجم عينات فيروس طروادة في قائمة الثابت تلوينها عناوين MAC، من أجل تحديد الهدف الأكثر العملي بعد أن يبدأ المستخدم التحديث، فإن هجوم استخدام 200 عينة مختارة أكثر من 600 الهجمات. الهدف الفعلي لعنوان MAC).

تدفق الهجوم المخطط هو كما يلي:

ووفقا للتحليل، وينقسم حزمة الخبيثة إلى قسمين، واحد في حزمة التثبيت مخبأة داخل مورد كامل الخبيثة مباشرة ملف PE، المباشرة دعوة تحميل الذاكرة winMain المهمة الرئيسية التي بعد الذاكرة تخصيص، وآخر في حزمة التثبيت مورد مخفيا كود القشرة، بعد تحميل فك التشفير في الذاكرة لتنفيذها.

ووفقا للاحصاءات كاسبيرسكي، الضحية معظمهم من روسيا وألمانيا وفرنسا، والتي تمثل ما يقرب من 18، 16، 12، بينما في الولايات المتحدة لتجنيد المستخدمين حوالي 5 فقط. وهكذا، فإن الهجوم فقط لبضعة أشياء محددة، وليس بالنسبة للمستهلك العادي.

وقال آسوس ردا على ذلك: "إصدار دفتر الحالي فقط (دفتر) من لايف تحديث سوف تتأثر."

سوبر "والزاعم"

بعد عام واحد، لماذا فقط اكتشفت مؤخرا أن الهجوم عليه؟ بشكل واضح، من أجل هذه المصنعين فوهوا شو، المهاجمين ليسوا الصلبة اثنين لا يكفي.

في الواقع، فإن الهجوم مطرقة الظل هو دقيق جدا.

ويعتقد أن القراصنة يمكن الحصول على شهادة آسوس الخاصة، وقعت من قبل البرامج الضارة آسوس سلسلة التوريد ضخمة. هؤلاء البائعين سلسلة التوريد والمطورين يأتون من جميع أنحاء العالم، بسبب توجه لها في الصناعة أو اختراق مباشرة في الشركة، مثل هذه الهجمات هي صعبة للغاية للكشف.

باستخدام هذه الطريقة لإخفاء مكونات الشهادات توقيع التعليمات البرمجية الخبيثة، يمكن للمهاجم بسهولة نجت من أنواع آليات الاستعراض. ويذكر أن باب العودة مع كلنر مبدأ مماثل، في الوقت الذي هجوم ناجح بنحو 2.3 مليون عميل، معظم أهدافه لعملاق التكنولوجيا.

استضافت برنامج التحديث الخبيثة على خادم التحديث liveupdate01s.asus.com وliveupdate01.asus.com ASUS الرسمي. من أجل منع فيروس خبيث تم تحديدها، المهاجم عمدا حجم الملف الخبيثة وتعديل النسخة العادية من نفس الملف، واستخدام شهادة شرعية.

يجب أن أقول، الهجوم مطرقة الظل هو فائقة الحقيقي "مدع" يستحق.

ليس ضحية

بالإضافة إلى آسوس، بينما يذكر تقرير كاسبرسكي لاب أيضا عانت العديد من الشركات آخر يتفق تقريبا مع الهجمات المذكورة أعلاه يمكن الاستنتاج بأن تنفيذ هجوم APT هو نفس المؤسسة. حاليا، لم كاسبرسكي لاب لم يذكر أسماء الشركات الأخرى في التقرير، وأسباب محددة لهذا الهجوم لم يتم تحديدها بعد آسوس.

لحسن الحظ، أطلقت أسوس النسخة 3.6.8 من لايف تحديث إصلاحات أداة هذه المشاكل. والمبدأ هو إضافة عدد كبير من عمليات التفتيش الأمنية والتحديثات أو أساليب أخرى لاعتراض "التلاعب الخبيث". من أجل أن تكون قادرة على الهجمات اعتراض أخرى، قال سيصل سعر "تحديث وتعزيز بنية الخادم لدينا للحصول على البرنامج المستخدم النهائي."

وبالإضافة إلى ذلك، قال ASUS أيضا انها ستقدم للتنزيل "أداة أمنية على الانترنت التشخيص" للعملاء للتحقق يتأثر أجهزة الكمبيوتر الخاصة بهم من قبل المنظمات APT. واقترح أنه بمجرد أن تتم استعادة المشاكل على الفور إلى إعدادات المصنع، في كثير من الأحيان تغيير كلمات المرور.

وردا على سيصل سعر ليوم أمس وقال إنه، باعتباره الهدف من الهجوم هو قوي، ومستوى سلسلة التوريد لنوع من الهجوم. ووفقا للاحصاءات، المستخدمين فقط حوالي مائة الصور، ولكن هذا لا يعني أن نطاق الهجوم لن تنتشر أكثر، مما تسبب في اليقظة المستخدم أمر ضروري.

إشارة المصدر: الأمن الدولي للابحاث، رموز الحراس، الأزرق دوت نت شبكة شبكة شبكة لى فنغ لى فنغ لى فنغ