影锤(ShadowHammer)——利用华硕升级服务的供应链攻击预警

 

0x00 背景介绍

3月25日，卡巴斯基报告影锤行动，并称这是一起新的利用华硕升级服务的供应链攻击。这起攻击事件针对特定MAC地址的用户计算机进行感染。根据统计显示，已知的安装该款恶意软件的用户达数十万，360安全大脑已经第一时间对该事件进行监测并发布免疫工具，建议用户下载自查。

 

0x01 样本分析

虽然目前主流的安全厂商认为黑客筹备的攻击时间大约在2018年6月左右，根据证书显示，360 CERT认为筹备时间可能更早。

360 CERT分析的这例样本在内存中申请一段可读可写可执行的堆空间，释放后门，并调用其功能函数执行。

该后门存在PDB路径：D:\C++\AsusShellCode\Release\AsusShellCode.pdb

后门程序硬编码MAC地址的MD5值，用来比对攻击目标。

获取本地计算机的MAC地址：

计算本地计算机MAC地址的MD5值：

使用计算出来的MD5值在攻击列表中进行检索。一旦找到目标，进行联网下载下一阶段Payload继续执行。

硬编码的网址信息：

网络连接请求：

如果MD5值比对失败，只是在用户目录下生成idx.ini文件，没有其它恶意行为。

 

0x02 修复建议

鉴于影锤(ShadowHammer)事件的严重影响，360安全大脑已在第一时间发布免疫工具，建议用户下载自查。

免疫工具下载链接：

http://dl.360safe.com/leakfixer/360SysVulTerminator.exe

 

0x03 IOCs

3.1 URL

https[:]//asushotfix[.]com/logo.jpg

https[:]//asushotfix[.]com/logo2.jpg

3.2 PDB

D:\C++\AsusShellCode\Release\AsusShellCode.pdb

3.3 部分硬编码的MD5值

00B006C7DAB6ACE6C25C3799EB2B6E14

B5DB2B4271E00E2EDEF8EF861590B343

D3056214D88DD580CDBCD8E43C1BE16F

53A047DDF4C3A353A5E061C6D4B6745E

F14CB34A0BA10D86BC4C557E97ED6994

EFF8FAEE4423F056B54AD11B1965F6B7

B9B4D3B0473796B62AE07BBD13BCD24D

76188898F13EBAE57002DBF82C21F9FE

8A927CDB569AA6B23EB26BF93A608D09

391BB7E6C66C14C9875734967904A267

606E5C271751811E2C063E216314BBE9

361420D14C4F4B5A06070659B049D81E

46CAFA0F8B7A196B125C4C4ECCAB579F

2697FC1EB634F87B0FBE3D606BA3BDF9

E37DDC776CB194D51DC7726606A2FEC5

764FFA0900CA9B13DB0196E7C1E345CE

1BEB5187893576833A11CAA08B5D7DB9

296E3A0A6559166BABBC73676B4A1FD8

135D8E07F59B8E5F09D7986D7BCF1910

0E3C1FF6B914170174C01020301BF6AF

30D390549ED1D08AB189B8044FBBA244

BE390F944451E5B3343712B3664B604A

5DECB7DD3DA8A822BA27BF742748541B

4BC48AB6710DDE78ED3982FF71FBFE02

17786CD60913F490B4406E418CF5011D

6FA17C2FD64369F30CD71FCF1AE84887

A067D3A1072726459376D1364572314D

E03DB90364D914665F253023D1A4D749

661EBDAC5152A2E1D5C317448D6B045B

A1B0B359EED22851876893289D06C67C

E7FFDD5537A8B594E8AB8816F72A8ACB

7C3EA93F65F706C1FAD939C99940B929

62ECDABE02A1B4D1FFFED9689E15B577

B7116F35F8A897CDE7D47E52F2FD26A6

CACBA3D8768323D3B19C9FA32C55454A

CCA866F8A35CEC76F77DC360C47A3388

6DE96A6F48F668D30B7C1809B12E10D9

AC63F16624A96CF2A0B878A16BEB453E

B0DFC3FCF11A7A00ADF7DFE22918706E

2E3AA8F2C65A3CF5AC6BB5852C5F93EA

1988E9E65A816084640B3645008EC499

5666B8D216D5E95E39DFF0EA99A4AAEE

29A0BB23027699FA32771AA724AD31B1

A8C4EDA876E4585DBA6C3DD9DD94FA00

09DA9DF3A050AFAD0DF0EF963B41B6E2

5977BAA3F8CE0CA1C96D6AC9A40C9A91

EA08C247CBFBC514C449D6841106A8E4

76715827786187BC8D8C3166E204D5AB

9C427FFAB6EEF09B607F3B622D3D467A

1952313C56F08836FDD0E75E5F541A15

0164435326FF2905D9B09F853BA2EE4E

26E02339F92D966D9A18F03F80D88ACD

BA424907EBBEC05283463D84DDAC4F57

7C69616C79E530A5F8381B0E679A36DF

DC329A0D51FA83ADA5C516F57A9C1F5F

CF97E39EB8247D2259A08A9325AAB223

752D4E95DD89FEC7FE42A827D5A8A693

98B833735C11216175621DA95937C13D

62EA824CD7C4062F45FAF67FD3E56FA5

78B21B205D90E89C0C97F4ECEB125298

8293ECFFF9062D9826D5F00FB1C4D865

61928FAB6083CDCD7156590153D1BC85

7B7A378011E2B8A364413C1C0BE78EE2

645A9170C2D65DF208AE17168ACA93F8

5D51B44EC32C81125803297D5EE234A9

F5D7BF512BCD26DA7462DEE983046EF5

DD9DAE1180509391478AA15E25D75E1C

C1AAA392C55EE1A157B89E8F1062EAAE

03DAF7DB5CDB4C60C1CD27BFB44E2ABC

DDB4DFE87E5DADC868807A9A37BCB419

D4CE8DF6E194A9CE6FB5970A78056685

F5968C662F5B2A3BEA1133EDD755F562

E35D68FC1EBE8EAA7C8DA4AAF9A50CC5

FEFDFE311578CD8F809A1F61333F5F0F

06D16AE12DCA78130DEEC40E31561C72

98AE8BFB7D9C5A54CA0A20E7D4AD80E8

F8BD55D1E55C7ADB7962592DCAFEE721

F5AB4565B1778CCFAC2D7C4711E0230F

5364C89A0AF66B5AD8119070CCB85E4B

77087F1E48CD27F70D9F5E0F3F53B3D0

F9E37272B5883564A7B68C83D567E74F

319B15C3F7991E48B07EE000026AD2B6

DF286E2D60398D253F8C21A83582FBDB

5A9FB35F7E7AC837C46FF83821FD0397

F42789A3CAB91C86BD808F617BB75DC5

05C2E7FDB442C6DEAD6E88B427311A82

459070C7A38D5C6453B452647ED79CE2

70A2699E33C32D47142F0AE25812E7C2

ADC9223E978B8A190B0D264D5D39710E

FAE3B06AB27F2B0F7C29BF7F2B03F83F

 

0x04 时间线

2019-03-25 ShadowHammer事件公布

2019-03-27 360 CERT发布安全预警

 

0x05 参考链接

1. Operation ShadowHammer