0x00 背景介绍

3月25日,卡巴斯基报告影锤行动,并称这是一起新的利用华硕升级服务的供应链攻击。这起攻击事件针对特定MAC地址的用户计算机进行感染。根据统计显示,已知的安装该款恶意软件的用户已逾百万,360安全大脑已经第一时间对该事件进行监测并发布免疫工具,建议用户下载自查。

0x01 样本分析

虽然目前主流的安全厂商认为黑客筹备的攻击时间大约在2018年6月左右,根据证书显示,360 CERT认为筹备时间可能更早。

360 CERT分析的这例样本在内存中申请一段可读可写可执行的堆空间,释放后门,并调用其功能函数执行。

该后门存在PDB路径:D:\C++\AsusShellCode\Release\AsusShellCode.pdb

后门程序硬编码MAC地址的MD5值,用来比对攻击目标。

获取本地计算机的MAC地址:

计算本地计算机MAC地址的MD5值:

使用计算出来的MD5值在攻击列表中进行检索。一旦找到目标,进行联网下载下一阶段Payload继续执行。

硬编码的网址信息:

网络连接请求:

如果MD5值比对失败,只是在用户目录下生成idx.ini文件,没有其它恶意行为。

0x02 修复建议

鉴于影锤(ShadowHammer)事件的严重影响,360安全大脑已在第一时间发布免疫工具,建议用户下载自查。

免疫工具下载链接:

http://dl.360safe.com/leakfixer/360SysVulTerminator.exe

0x03 IOCs

3.1 URL

https[:]//asushotfix[.]com/logo.jpg

https[:]//asushotfix[.]com/logo2.jpg

3.2 PDB

D:\C++\AsusShellCode\Release\AsusShellCode.pdb


发表评论

电子邮件地址不会被公开。 必填项已用*标注