0x00 背景介绍
3月25日,卡巴斯基报告影锤行动,并称这是一起新的利用华硕升级服务的供应链攻击。这起攻击事件针对特定MAC地址的用户计算机进行感染。根据统计显示,已知的安装该款恶意软件的用户达数十万,360安全大脑已经第一时间对该事件进行监测并发布免疫工具,建议用户下载自查。
0x01 样本分析
虽然目前主流的安全厂商认为黑客筹备的攻击时间大约在2018年6月左右,根据证书显示,360 CERT认为筹备时间可能更早。
360 CERT分析的这例样本在内存中申请一段可读可写可执行的堆空间,释放后门,并调用其功能函数执行。
该后门存在PDB路径:D:\C++\AsusShellCode\Release\AsusShellCode.pdb
后门程序硬编码MAC地址的MD5值,用来比对攻击目标。
获取本地计算机的MAC地址:
计算本地计算机MAC地址的MD5值:
使用计算出来的MD5值在攻击列表中进行检索。一旦找到目标,进行联网下载下一阶段Payload继续执行。
硬编码的网址信息:
网络连接请求:
如果MD5值比对失败,只是在用户目录下生成idx.ini文件,没有其它恶意行为。
0x02 修复建议
鉴于影锤(ShadowHammer)事件的严重影响,360安全大脑已在第一时间发布免疫工具,建议用户下载自查。
免疫工具下载链接:
http://dl.360safe.com/leakfixer/360SysVulTerminator.exe
0x03 IOCs
3.1 URL
https[:]//asushotfix[.]com/logo.jpg
https[:]//asushotfix[.]com/logo2.jpg
3.2 PDB
D:\C++\AsusShellCode\Release\AsusShellCode.pdb
3.3 部分硬编码的MD5值
00B006C7DAB6ACE6C25C3799EB2B6E14
B5DB2B4271E00E2EDEF8EF861590B343
D3056214D88DD580CDBCD8E43C1BE16F
53A047DDF4C3A353A5E061C6D4B6745E
F14CB34A0BA10D86BC4C557E97ED6994
EFF8FAEE4423F056B54AD11B1965F6B7
B9B4D3B0473796B62AE07BBD13BCD24D
76188898F13EBAE57002DBF82C21F9FE
8A927CDB569AA6B23EB26BF93A608D09
391BB7E6C66C14C9875734967904A267
606E5C271751811E2C063E216314BBE9
361420D14C4F4B5A06070659B049D81E
46CAFA0F8B7A196B125C4C4ECCAB579F
2697FC1EB634F87B0FBE3D606BA3BDF9
E37DDC776CB194D51DC7726606A2FEC5
764FFA0900CA9B13DB0196E7C1E345CE
1BEB5187893576833A11CAA08B5D7DB9
296E3A0A6559166BABBC73676B4A1FD8
135D8E07F59B8E5F09D7986D7BCF1910
0E3C1FF6B914170174C01020301BF6AF
30D390549ED1D08AB189B8044FBBA244
BE390F944451E5B3343712B3664B604A
5DECB7DD3DA8A822BA27BF742748541B
4BC48AB6710DDE78ED3982FF71FBFE02
17786CD60913F490B4406E418CF5011D
6FA17C2FD64369F30CD71FCF1AE84887
A067D3A1072726459376D1364572314D
E03DB90364D914665F253023D1A4D749
661EBDAC5152A2E1D5C317448D6B045B
A1B0B359EED22851876893289D06C67C
E7FFDD5537A8B594E8AB8816F72A8ACB
7C3EA93F65F706C1FAD939C99940B929
62ECDABE02A1B4D1FFFED9689E15B577
B7116F35F8A897CDE7D47E52F2FD26A6
CACBA3D8768323D3B19C9FA32C55454A
CCA866F8A35CEC76F77DC360C47A3388
6DE96A6F48F668D30B7C1809B12E10D9
AC63F16624A96CF2A0B878A16BEB453E
B0DFC3FCF11A7A00ADF7DFE22918706E
2E3AA8F2C65A3CF5AC6BB5852C5F93EA
1988E9E65A816084640B3645008EC499
5666B8D216D5E95E39DFF0EA99A4AAEE
29A0BB23027699FA32771AA724AD31B1
A8C4EDA876E4585DBA6C3DD9DD94FA00
09DA9DF3A050AFAD0DF0EF963B41B6E2
5977BAA3F8CE0CA1C96D6AC9A40C9A91
EA08C247CBFBC514C449D6841106A8E4
76715827786187BC8D8C3166E204D5AB
9C427FFAB6EEF09B607F3B622D3D467A
1952313C56F08836FDD0E75E5F541A15
0164435326FF2905D9B09F853BA2EE4E
26E02339F92D966D9A18F03F80D88ACD
BA424907EBBEC05283463D84DDAC4F57
7C69616C79E530A5F8381B0E679A36DF
DC329A0D51FA83ADA5C516F57A9C1F5F
CF97E39EB8247D2259A08A9325AAB223
752D4E95DD89FEC7FE42A827D5A8A693
98B833735C11216175621DA95937C13D
62EA824CD7C4062F45FAF67FD3E56FA5
78B21B205D90E89C0C97F4ECEB125298
8293ECFFF9062D9826D5F00FB1C4D865
61928FAB6083CDCD7156590153D1BC85
7B7A378011E2B8A364413C1C0BE78EE2
645A9170C2D65DF208AE17168ACA93F8
5D51B44EC32C81125803297D5EE234A9
F5D7BF512BCD26DA7462DEE983046EF5
DD9DAE1180509391478AA15E25D75E1C
C1AAA392C55EE1A157B89E8F1062EAAE
03DAF7DB5CDB4C60C1CD27BFB44E2ABC
DDB4DFE87E5DADC868807A9A37BCB419
D4CE8DF6E194A9CE6FB5970A78056685
F5968C662F5B2A3BEA1133EDD755F562
E35D68FC1EBE8EAA7C8DA4AAF9A50CC5
FEFDFE311578CD8F809A1F61333F5F0F
06D16AE12DCA78130DEEC40E31561C72
98AE8BFB7D9C5A54CA0A20E7D4AD80E8
F8BD55D1E55C7ADB7962592DCAFEE721
F5AB4565B1778CCFAC2D7C4711E0230F
5364C89A0AF66B5AD8119070CCB85E4B
77087F1E48CD27F70D9F5E0F3F53B3D0
F9E37272B5883564A7B68C83D567E74F
319B15C3F7991E48B07EE000026AD2B6
DF286E2D60398D253F8C21A83582FBDB
5A9FB35F7E7AC837C46FF83821FD0397
F42789A3CAB91C86BD808F617BB75DC5
05C2E7FDB442C6DEAD6E88B427311A82
459070C7A38D5C6453B452647ED79CE2
70A2699E33C32D47142F0AE25812E7C2
ADC9223E978B8A190B0D264D5D39710E
FAE3B06AB27F2B0F7C29BF7F2B03F83F
0x04 时间线
2019-03-25 ShadowHammer事件公布
2019-03-27 360 CERT发布安全预警
发表评论
您还未登录,请先登录。
登录