华硕今天发布了一个新版本的LiveUpdateTool,其中包含了针对漏洞的修补程序,这些漏洞被一个集团利用,在多达100万台Windows PC上部署了ShadowHammer后门。
AsusLiveUpdate3.6.8包含上述修补程序,硬件供应商今天在新闻稿中宣布。
该公司表示,ASUS LiveUpdatev3.6.8“引入了多种安全验证机制,以防止以软件更新或其他方式进行的任何恶意操作,并实现了增强的端到端加密机制。”
华硕还表示,它更新并加强了“服务器对终端用户的软件体系结构,以防止类似的攻击在未来发生。”
该公司的声明是在科技新闻网站“主板”昨日透露,一群的黑客破坏了ASUSLiveUpdate基础设施,并提供了ASUSLiveUpdate工具的后门版本。
KasperskyLab和Symantec的初始评估估计感染用户的数量在500,000和1,000,000用户之间。
然而,在今天的新闻发布会上,ASUS轻描淡写地说,仅仅是“少数设备被植入了恶意代码”。
该公司表示,只有与笔记本电脑一起使用的实时更新工具已被备份,而不是其应用的所有实例–用作全球数百万设备上的固件更新实用程序。
尽管有直接访问自己的服务器日志和知道黑客入侵大约两个月,但Asus无法在受影响用户的数量上提供一个可靠的数字。
卡巴斯基所称的ShadowHammer操作感染了数十万用户,但是隐藏在LiveUpdate工具中的ShadowHammer恶意软件不会感染用户额外的有效载荷,除非他们的设备有特定的MAC地址。
Kaspersky说,他们收集的备份实时更新版本的特点是超过600个唯一的MAC地址,在这些地址上,Shadowammer恶意软件将启动进一步的攻击。
显然,以#Shadowammer为目标的Mac之一用于数以千计的主机:它是VMwareVMNet8适配器,默认的Mac00:50:56:C0:00:08。如果你有一个人-别紧张。你可能只是一个附带的目标。请检查是否在2018年运行AsusLive更新器。
另一种情况是0C:5B:8F:27:9A:64。该产品由华为E3772USB4G加密狗使用,对于此类设备的所有所有者来说似乎是相同的。看起来#Shadowammer的目标在某些情况下不是准确的,可能会导致意外感染。
在某些情况下,#Shadowammer后门检查NIC和WiFi适配器MAC,以识别进一步开发的受害者。仅当两个地址匹配时,才会部署第二级。这真的是有针对性的。
华硕现在正利用这一非常先进的目标选择机制作为借口,淡化事件的严重性,完全忽略了黑客团体在此过程中可以直接访问其软件更新服务器的事实。
该公司发布了LiveUpdate3.6.8,但目前还不清楚更新到这个版本是否删除了旧版本备份的LiveUpdate版本的所有痕迹。
许多其他问题仍未得到解答。例如,一个普通的ASUS客户如何知道他们是否自动收到了LiveUpdate版本的备份版本?很可能大多数用户并不在ShadowHammer组的范围内,但是所有收到LiveUpdate应用程序反向版本的ASUS用户都需要擦除和重新安装系统才能完全安全,或者更新到v3.6.8就足够了吗?
华硕说,其客户服务一直在接触受影响的用户,并提供援助,但该公司没有提供任何有用的信息,否则。
事实上,该公司的新闻稿对卡巴斯基和它的客户群都有点不尊重。
非但没有感谢这位俄罗斯反病毒供应商发现了这一安全漏洞,ASUS还链接到了卡巴斯基竞争对手网站上的一个网页,该网页包含了有关黑客组织的通用信息。点击此链接的华硕客户将不会收到任何关于暗影锤攻击的有用信息,并且将更加困惑这与暗影锤攻击有何关系,而这一点在该页面中甚至没有提到。
卡巴斯基说,这次攻击的幕后黑手–据信是黑客–于2018年11月停止了在华硕服务器上的所有活动,当时他们转向其他行动。
给那些在阅读“暗影锤”故事时仓促阅读的人重要的注意:根据我们的知识,当前的ASUS更新是很好的。袭击者似乎在2018年11月停止了活动,并转向其他目标。哪一个?#SAS 2019只需2周就能知道。这家俄罗斯公司在1月份发现了ASUS LiveUpdate妥协方案,并与ASUS联系,该公司近两个月未能解决这起黑客事件,直到昨天的事件在媒体上被曝光。
此外,据报称昨天打破了这个故事的记者的推文,Asus也曾试图让Kaspersky签署一份保密协议(保密协议),试图保持这一事件的平静。
非但没有与卡巴斯基合作,以协调一致的方式解决这一事件,并为用户提供所需的所有信息,ASUS试图掩埋这一事件,但事与愿违,事与愿违。
这些做法,以及ASUS对任何与安全相关的问题的无知,都是联邦贸易委员会(FederalTradeCommission)在2016年20年前将该公司置于强制性安全审计之下的原因。这一决定是关于该公司的家庭路由器部门,但似乎ASUS的个人电脑部门是在同一熔炉的不良安全做法。
现在,在Asus发布更详细的信息之前,Asus客户可以更新到LiveUpdate3.6.8。
他们还可以使用Asus和Kaspersky提供的应用程序检查他们的设备的MAC地址是否在600个MAC的列表上,这是一个有目标的Shadowammer操作。该应用程序的基于Web的版本也可在Kaspersky网站上提供。