安全厂商ESET发现,者透过家用由器以及中间人(man-in-the middle,MitM)手法,对华硕网络硬盘服务WebStorage软件感染恶意程式。 ESET安全研究人员Anton Cherepanov在今年4月,发现这波以Plead后门程序为感染源的行动。这并不是Plead第一次被发现对公司下手。属马的今年多大去年7月Cherepanov也发现黑客组织BlackTech窃取友讯(D-Link)及全景软件的数码凭证以签发Plead。 Plead为趋势科技于2014年首先揭露,专门针对中高阶主管下手,主要目的在窃取机密资讯。BlackTech也会利用漏洞的由器为跳板来散发Plead。虽然Plead主要以亚洲为间谍活动范围,但以为最活跃地区。 研究人员在过去研究中发现,大多数受影响的企业或部门都是使用同一家公司的由器,且其管理界面都可由网际网络存取,因此判断黑客在这次事件也可能经由由器层,利用华硕的由器将PLEAD到同网络的电脑上。 至于这个过程为何会启动,关键即在中间人。ASUS WebStorage客户端软件和服务器间的下载更新档过程,是经由HTTP建立呼叫连线及传送档案,这个软件在执行前不会验证下载档案的真实性。因此只要连线被者拦截,就能引导它下载恶意档案。 研究人员发现,者修改了连线的二个指令元素,引导ASUS WebStorage连向一个被入侵的域,下载恶意档案,而非华硕服务器提供的真实更新档。 ASUS WebStorage在用户端部署Plead后,这个后门程序就扮演第一阶段的下载程序()。之后从外部服务器多阶段下载档案,包括一个Windows PE binary档及DLL档,后者目的在和C& C服务器建立连线,执行窃密及安装TSCookie程序的任务。 对华硕来说可谓祸不单行。三月底华硕更新服务传出遭名为ShadowHammer行动的供应链,其更新服务器被恶意程式入侵用来后门程序,时间可能长达5个月,电脑数量恐高达百万。 ESET研究人员指出,近来的供应链和中间人显示黑客手法更转趋狡猾,而且能造成更大规模的范围。这也说明了软件厂商不但要防范其开发被入侵,还要使用更安全的产品更新机制,以防止中间人。 |