请选择 进入手机版 | 继续访问电脑版
搜索
房产
装修
汽车
婚嫁
健康
理财
旅游
美食
跳蚤
二手房
租房
招聘
二手车
教育
茶座
我要买房
买东西
装修家居
交友
职场
生活
网购
亲子
情感
龙城车友
找美食
谈婚论嫁
美女
兴趣
八卦
宠物
手机

柠檬天使计划国语版 又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件 影子银行

[复制链接]
查看: 978|回复: 0

46

主题

185

帖子

276

积分

等待验证会员

积分
276
发表于 2019-5-15 19:13 | 显示全部楼层 |阅读模式
这是写在帖子头部的内容在2019年4月底,ESET研讨职员观察到存在异常行为: 屡次尝试摆设Plead恶意软件。且被APT构造blacktech操纵
而此次,一样还是这个构造,在比来又搞起了刚爆出供给链进犯的华硕。
此前的华硕事务:ShaHmer行动: 疑似华X电脑公司蒙受有针对性的供给链进犯
本次平安事务又是若何展开的呢,一路来一探讨竟。
*本次进犯由ESET发现并表露。
在2019年4月底,ESET研讨职员观察到存在异常行为: 屡次尝试摆设Plead恶意软件。
具体来说,Plead后门是由名为AsusWSPanel.exe的正当进程建立和履行的。
该法式为Windows客户端,用于称为ASUS WebStorage的云存储办事。
即华硕云存储软件。
大如果这玩意


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191338n80a8ri8jstot0af




https://www.asuswebstorage.com/

又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191338nq2teqfeis2f3ff1




如图1所示,可履行文件由ASUS Cloud Corporation停止数字签名。

又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191339sgmddgtwf7stf0wr




一切观察到的Plead样本都有以下文件名:
Asus Webstorage Upate.exe
研讨表白,ASUS WebStorage 的AsusWSPanel.exe模块可以在软件更新进程中建立具有此类文件名的文件,如图2所示。


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191339d85abomaaamegqa8




从原文来看,ESET生怕并不确以为什么一个带签名一般的软件会下发恶意软件,是以他们给出下面的两个能够的进犯场景。(黑鸟感觉,第二个场景能够性超级大)
场景1 – 供给链进犯
供给链为进犯者供给了无穷的机遇,可以同时静静地破坏大量方针:这就是供给链进犯数目不竭增加的缘由。
对于恶意软件研讨职员来说,检测和确认特定的供给链进犯并不总是那末轻易; 偶然没有充足的证据来证实这一点。
当研讨职员斟酌华硕WebStorage供给链进犯的能够性时,应当斟酌以下几点:
1、带签名的ASUS WebStorage软件经过不异的更新机制停止更新
2、今朝,研讨员还不晓得华硕WebStorage办事器被用作C&C办事器或下放恶意软件。
3、进犯者利用自力的恶意软件文件,而不是在正当软件中加入恶意功用
是以,供给链进犯的假定能够性较小,但不解除会出现的能够性。
场景2 – 中心人进犯
华硕WebStorage软件轻易遭到中心人进犯(MitM)的进犯。
他们的软件利用HTTP请求和传输软件更新:
下载更新并预备履行后,软件在履行前不会考证其实在性。
是以,假如更新进程被进犯者阻挡,他们就可以推送恶意更新。
按照趋向科技的研讨,Plead恶意软件背后的进犯者正在入侵易受进犯的路由器,甚至将它们用作恶意软件的C&C办事器。
观察发现,大大都受影响的构造都有同平生产者生产的路由器; 此外,这些路由器的治理面板可从互联网拜候。
是以,研讨职员以为经过路由器停止中心人进犯是最有能够的情况。
如上所述,ASUS WebStorage软件利用HTTP请求更新。具体来说,它向update.asuswebstorage.com办事器发送请求,该办事器以XML格式发送答复。
XML响应中最重要的元素是guid和链接。该GUID元素包括当前可用的版本;
该链接元素包括用于更新的下载网址。
更新进程很简单:软件检查安装的版本能否比最新版本旧;
假如是这样,那末它利用供给的URL请求下载文件,如图3所示。


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191339t7hu0omzfzm6qyll




是以,进犯者可以经过利用自己的数据替换这两个元素来触发更新行为。
下面是实在观察到的场景。如图4所示,进犯者插入了一个新URL,该URL指向被入侵的gov.tw域中的恶意文件。


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191339s4o0llovoogbl1sb




图5展现了最常用于经过入侵后的路由器向方针传递恶意载荷的计划。


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191340rqslag4svssasal8




后门
摆设的Plead示例是第一阶段下载法式。
一旦履行,它将从办事器下载fav.ico文件,该办事器的称号模仿官方ASUS WebStorage办事器:
update.asuswebstorage.com.ssmailer.com


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191340uamkt8v8adpmuzhx




又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191340gp9wm2rp7s8092za




下载的文件包括PNG格式的图像和恶意软件利用的数据,该文件位于PNG数据以后。
图6描画了恶意软件搜索的特定字节序列(控制字节),然后它利用接下来的512个字节作为RC4加密密钥,以便解密其他数据。


又是华硕。〗刚卟僮萋酚善骷又行娜私缸楹戏址⒍褚馊砑

又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件  每日新闻 191340ztcmmc9h4h4n95wa




解密的数据包括一个Windows PE二进制文件,可以利用绝对文件名或途径停止开释和履行操纵:
%APPDATA%MicrosoftWindowsStartMenuProgramsStartupslui.exe%APPDATA%MicrosoftWindowsStartMenuProgramsStartupctfmon.exe%TEMP%DEV[4_random_chars].TMP
经过将本身写入“起头菜单”启动文件夹,恶意软件可以获得持久性 – 每次当前用户登录系统时城市加载该恶意软件。
开释的可履行文件是第二阶段的加载器,其目标是从其PE资本解密shellcode并在内存中履行它。
这个shellcode加载第三级DLL,其目标是从C&C办事器获得一个额外的模块并履行它。第三阶段DLL和下载的模块由JPCERT完全分析并公布在他们的博客帖子中(称为“TSCookie”)。
https://blogs.jpcert.or.jp/en/2018/03/malware-tscooki-7aa0.html
总结
进犯者一向在寻觅以更隐藏的方式分发恶意软件的新方式。
我们看到全球各类进犯者越来越多天时用供给链和中心人进犯。
这就是为什么软件开辟职员不但要完全监控他们的情况能否存在能够的入侵,而且要在他们的产物中实施可以抵抗中心人进犯的适当更新机制,这一点很是重要。
固然,路由器也需要留意,只管选大牌子的,文中没有提到能够被攻下的是啥牌子的路由器。
本文作者:黑鸟,转载自:https://www.freebuf.com/column/203563.html
感激您的阅读
http://ossoccer.org/payday-loans-plano-tx/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2006-2014 拓房网_御宅屋_最专业房地产门户网站_房产楼市新闻_购房政策信息_房价走势消息_房产资讯网 版权所有 法律顾问:高律师 客服电话:0791-88289918
技术支持:迪恩网络科技公司  Powered by Discuz! X3.2
快速回复 返回顶部 返回列表