{"id":216190,"date":"2019-03-25T18:20:48","date_gmt":"2019-03-25T17:20:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216190"},"modified":"2023-12-10T13:44:58","modified_gmt":"2023-12-10T12:44:58","slug":"shadowhammer-asus-live-update-mit-backdoor-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/25\/shadowhammer-asus-live-update-mit-backdoor-infiziert\/","title":{"rendered":"ShadowHammer: ASUS Live Update mit Backdoor infiziert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/03\/26\/shadowhammer-asus-live-update-infected-with-backdoor\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Benutzer, die das ASUS Live Update Utility auf ihre Computern installiert haben, wurden vermutlich zwischen Juni und November 2018 mit einer Backdoor infiziert. ASUS war 2017 laut Gartner der 5. gr\u00f6\u00dfte Computerhersteller, entsprechend gro\u00df ist die Zahl der Betroffenen (es wird 1 Million gesch\u00e4tzt). Die Backdoor wurde von den g\u00e4ngigen Virenschutzl\u00f6sungen lange Zeit nicht erkennt. Gl\u00fcck im Ungl\u00fcck f\u00fcr viele Betroffen: Die Angreifer hatten aber spezifische Ziele im Auge, die \u00fcber diese Backdoor ausspioniert wurden. <strong>Erg\u00e4nzung:<\/strong> ASUS hat das Live Update Utility aktualisiert und ein Pr\u00fcftool f\u00fcr betroffene Systeme bereitgestellt. Zudem war ASUS seit 2 Monaten gewarnt und \u00fcber unglaubliche Schlampereien informiert.<\/p>\n<p><!--more--><\/p>\n<h2>Angriff auf ASUS-Utility<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/726bd3e2c1c440a0a229fa2bc5548d65\" alt=\"\" width=\"1\" height=\"1\" \/>Von Kaspersky Lab wurde im Januar 2019 eine neue Advanced Persistent Threat (APT)-Kampagne entdeckt \u2013 und heute <a href=\"https:\/\/web.archive.org\/web\/20220819030300\/https:\/\/www.kaspersky.com\/about\/press-releases\/2019_operation-shadowhammer-new-supply-chain-attack?ref=555601-2728X590260X4dd260901023d92f59151e8adc629c3e&amp;affmt=2&amp;affmn=1\" target=\"_blank\" rel=\"noopener noreferrer\">\u00f6ffentlich gemacht<\/a>. Diese betraf wohl\u00a0 Benutzer, die das ASUS Live Update Utility zwischen Juni und November 2018 auf ihren Computern heruntergeladen haben.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Asus Live Updater was used in a big supply chain attack we dubbed Operation <a href=\"https:\/\/twitter.com\/hashtag\/ShadowHammer?src=hash&amp;ref_src=twsrc%5Etfw\">#ShadowHammer<\/a>. We estimate this may have affected over 1 million computer users between June and Nov 2018. <a href=\"https:\/\/t.co\/jTij3NwpSs\">https:\/\/t.co\/jTij3NwpSs<\/a><\/p>\n<p>\u2014 Costin Raiu (@craiu) <a href=\"https:\/\/twitter.com\/craiu\/status\/1110167343769051136?ref_src=twsrc%5Etfw\">25. M\u00e4rz 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das GReAT-Team (Global Research and Analysis) von Kaspersky Lab hat dieser b\u00f6sartigen Kampagne die Namen ShadowHammer gegeben. Kim Zetter von Motherboard <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/pan9wn\/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers\" target=\"_blank\" rel=\"noopener noreferrer\">berichtete<\/a>, dass die hinterlegte Version des ASUS Live Updates von mehr als 57.000 Kaspersky-Anwendern heruntergeladen und installiert wurde. Das Forschungsteam sch\u00e4tzt aber, das eine viel gr\u00f6\u00dfere Anzahl Benutzer, man geht von einer Gesamtzahl von \u00fcber einer Million infizierten Computern aus, betroffen ist.<\/p>\n<h2>ASUS-Utility in einer Supply Chain Attack infiziert<\/h2>\n<p>ASUS Live Update ist ein Dienstprogramm, das auf den meisten ASUS-Computern vorinstalliert ist und zur automatischen Aktualisierung bestimmter Komponenten wie BIOS, UEFI, Treiber und Anwendungen verwendet wird. Eine solche Komponente ist ein gefundenes Fressen f\u00fcr jeden Angreifer.<\/p>\n<p>Ein erfolgreicher Angriff der Lieferkette (Supply Chain Attack) f\u00fcr ein solches Tool ist einer der gef\u00e4hrlichsten und wirksamsten Infektionsvektoren, die in den letzten Jahren zunehmend in fortgeschrittenen Operationen genutzt wurden (wie man bei ShadowPad oder CCleaner gesehen hat). Ein solcher Angriff versucht spezifische Schw\u00e4chen in den miteinander verbundenen Systemen aller am Produktlebenszyklus Beteiligten auszunutzen. W\u00e4hrend die Infrastruktur eines Anbieters wie ASUS oft als sicher bezeichnet werden kann, bestehen m\u00f6glicherweise in den Einrichtungen Vorlieferanten oder in den \u00dcbergabeschnittstellen Schwachstellen.<\/p>\n<p>Gelingt es, diese Komponente beim Hersteller zu infizieren (Supply Chain Attack), wird die infizierte Software auf sehr viele Ger\u00e4te ausgerollt. Die Akteure hinter ShadowHammer zielten auf das ASUS Live Update Utility als erste Infektionsquelle ab. Denn dieses Tool wird von ASUS ja auf seinem Maschinen vorinstalliert.<\/p>\n<p>Mit Hilfe gestohlener digitaler Zertifikate, die von ASUS zum Signieren legitimer Bin\u00e4rdateien verwendet werden, haben die Angreifer \u00e4ltere Versionen der ASUS-Software manipuliert und ihren eigenen b\u00f6sartigen Code f\u00fcr eine Backdoor injiziert. Trojanische Versionen des Dienstprogramms wurden dann mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und anschlie\u00dfend auch verteilt.<\/p>\n<h2>Schutzl\u00f6sungen blind, Opfer gezielt ausgesucht<\/h2>\n<p>Dieser Verteilungsweg \u00fcber den Hersteller machte die kompromittierte Software f\u00fcr die \u00fcberwiegende Mehrheit der Schutzl\u00f6sungen weitgehend unsichtbar, wie Kaspersky schreibt. M\u00f6glicherweise lie\u00dfen sich die 'Schutzl\u00f6sungen' durch die digitale Signatur t\u00e4uschen.<\/p>\n<p>Theoretisch h\u00e4tte die Infektion bedeutet, dass potenziell jeder Benutzer der betroffenen Software zum Opfer h\u00e4tte werden k\u00f6nnen. Aber die Akteure hinter ShadowHammer konzentrierten sich darauf, Zugang zu mehreren hundert Benutzern zu erhalten. \u00dcber diese Benutzer wussten die Angreifer bereits Bescheid.<\/p>\n<p>Wie die Forscher von Kaspersky Lab herausfanden, enthielt jeder Backdoor-Code eine Tabelle mit fest kodierten MAC-Adressen &#8211; die eindeutige Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird. Sobald sie auf dem Ger\u00e4t eines Opfers ausgef\u00fchrt wurde, \u00fcberpr\u00fcfte die Backdoor die MAC-Adresse des Ger\u00e4ts anhand einer Tabelle. Stimmte die MAC-Adresse mit einem der Eintr\u00e4ge \u00fcberein, lud die Malware die n\u00e4chste Stufe des b\u00f6sartigen Codes herunter.<\/p>\n<p>Andernfalls zeigte der infiltrierte Updater keine Netzwerkaktivit\u00e4t. Deshalb blieb die Infektion des Utility so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten von Kaspersky mehr als 600 MAC-Adressen identifizieren. Diese wurden von \u00fcber 230 einzigartigen Backdoor-Modulen mit jeweils unterschiedlichen Shellcodes angesprochen.<\/p>\n<p>Der modulare Ansatz und die zus\u00e4tzlichen Vorsichtsma\u00dfnahmen bei der Ausf\u00fchrung des Backdoor-Codes, zeigen, dass es f\u00fcr die Akteure hinter diesem anspruchsvollen Angriff sehr wichtig war, unentdeckt zu bleiben. Gleichzeitig verfolgten die Akteure einige sehr spezifische Ans\u00e4tze, um die Ziele mit chirurgischer Pr\u00e4zision zu treffen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand der Akteure widerspiegelt.<\/p>\n<p>Die Suche nach \u00e4hnlicher Malware hat Software von drei anderen Anbietern in Asien ergeben, die alle mit sehr \u00e4hnlichen Methoden und Techniken infiziert wurden. Kaspersky Lab hat das Problem Asus und die anderen Anbietern gemeldet.<\/p>\n<p>\"Die ausgew\u00e4hlten Anbieter sind \u00e4u\u00dferst attraktive Ziele f\u00fcr APT-Gruppen, die deren gro\u00dfe Kundenbasis nutzen wollen. Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Die Techniken zur Erzielung einer unbefugten Codeausf\u00fchrung sowie andere entdeckte Artefakte deuten jedoch darauf hin, dass ShadowHammer wahrscheinlich mit dem BARIUM APT zusammenh\u00e4ngt, das zuvor unter anderem mit den Vorf\u00e4llen ShadowPad und CCleaner verbunden war. Diese neue Kampagne ist ein weiteres Beispiel daf\u00fcr, wie anspruchsvoll und gef\u00e4hrlich ein Angriff auf eine Lieferkette heute sein kann\", sagte Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab.<\/p>\n<h2>Was man als Betroffener tun kann<\/h2>\n<p>F\u00fcr Nutzer, die das ASUS Live Update-Utility auf ihren Windows-Systemen verwenden, stellt sich die Frage, was man tun kann, um nicht Opfer eines gezielten Angriffs zu werden. Kaspersky schl\u00e4gt folgende Ma\u00dfnahmen vor:<\/p>\n<ul>\n<li>Implementieren Sie nicht nur eine unverzichtbare Antivirusl\u00f6sung (Endpunktschutz), sondern auch eine unternehmensweite Sicherheitsl\u00f6sung, die fortgeschrittene Bedrohungen auf Netzwerkebene fr\u00fchzeitig erkennt. Hier wird nat\u00fcrlich die Kaspersky Anti Targeted Attack Platform beispielhaft genannt.<\/li>\n<li>Zur Erkennung, Untersuchung und rechtzeitige Behebung von Vorf\u00e4llen empfehlen die Kaspersky-Sicherheitsforscher die Implementierung von EDR-L\u00f6sungen wie Kaspersky Endpoint Detection and Response oder die Kontaktaufnahme mit einem professionellen Incident Response Team;<\/li>\n<li>Integrieren Sie Threat Intelligence-Feeds in ihr SIEM und andere Sicherheitskontrollen, um Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten zu erhalten und sich auf zuk\u00fcnftige Angriffe vorzubereiten.<\/li>\n<\/ul>\n<p>Kaspersky hat zudem ein <a href=\"https:\/\/kas.pr\/shadowhammer\" target=\"_blank\" rel=\"noopener noreferrer\">Offline Utility<\/a> sowie einen <a href=\"https:\/\/shadowhammer.kaspersky.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Online Web Checker<\/a> bereitgestellt. Mit den Tools k\u00f6nnen Nutzer \u00fcberpr\u00fcfen, ob ihre Computer durch ShadowHammer infiziert wurden. Das Offline-Tool muss lokal entpackt werden und meldet, ob man infiziert ist (mangels ASUS-Rechnern bekomme ich aber eine Meldung, dass keine Infektion vorliegt).<\/p>\n<p><img decoding=\"async\" title=\"ShadowHammer Web Checker\" src=\"https:\/\/i.imgur.com\/Y0fN5iT.jpg\" alt=\"ShadowHammer Web Checker\" \/><\/p>\n<p>Beim Online Web Checker muss man die MAC-Adresse in ein Formular eingeben und erh\u00e4lt die R\u00fcckmeldung, ob diese von der Backdoor ber\u00fccksichtigt wird (siehe Screenshot). Die Schritte zum Ermitteln der MAC-Adresse \u00fcber <em>ipconfig \/all <\/em>lassen sich \u00fcber einen Weblink im Formular des Web-Checker abrufen.<\/p>\n<p>Kaspersky Lab will die vollst\u00e4ndigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen. Addenum: Erg\u00e4nzende Informationen finden sich in dem nun von Heise <a href=\"https:\/\/www.heise.de\/security\/meldung\/ShadowHammer-ASUS-verteilte-offenbar-Schadcode-an-ueber-1-Million-Nutzer-4348242.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier ver\u00f6ffentlichten Artikel<\/a>. (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/asus-live-update-infected-with-backdoor-in-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n<h2>Erg\u00e4nzung<strong>:<\/strong> ASUS Live Update Utility 3.6.8 und Pr\u00fcftool<\/h2>\n<p>ASUS hat die Version 3.6.8 der\u00a0ASUS Live Update Utility bereitgestellt, die diese Backdoor nicht mehr aufweist. Details erf\u00e4hrt man auf <a href=\"https:\/\/www.asus.com\/support\/FAQ\/1018727\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser ASUS-Webseite<\/a>. In <a href=\"https:\/\/www.asus.com\/News\/hqfgVUyZ6uyAyJe1\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Stellungnahme<\/a> geht ASUS auf das Thema ein, erw\u00e4hnt die neue die Version 3.6.8 der ASUS Live Update Utility und ein Pr\u00fcftool, mit dem man das System auf eine kompromittierte Version mit der Backdoor \u00fcberpr\u00fcfen kann. Das Tool gibt es \u00fcber diese Datei <a href=\"https:\/\/dlcdnets.asus.com\/pub\/ASUS\/nb\/Apps_for_Win10\/ASUSDiagnosticTool\/ASDT_v1.0.1.0.zip\" target=\"_blank\" rel=\"noopener noreferrer\">ASDT_v1.0.1.0.0.zip<\/a>. (<a href=\"https:\/\/www.deskmodder.de\/blog\/2019\/03\/26\/asus-live-update-3-6-8-behebt-das-sicherheitsproblem-diagnosetool\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n<p><strong>Erg\u00e4nzung 2:<\/strong> Ich habe noch was zu unglaublichen Schlampereien bez\u00fcglich der Sicherheit im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/28\/backdoor-asus-war-seit-monaten-vor-risiken-gewarnt\/\" rel=\"bookmark\">Backdoor: ASUS war seit Monaten vor Risiken gewarnt<\/a> geschrieben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Benutzer, die das ASUS Live Update Utility auf ihre Computern installiert haben, wurden vermutlich zwischen Juni und November 2018 mit einer Backdoor infiziert. ASUS war 2017 laut Gartner der 5. gr\u00f6\u00dfte Computerhersteller, entsprechend gro\u00df ist die Zahl der Betroffenen (es &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/25\/shadowhammer-asus-live-update-mit-backdoor-infiziert\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185],"tags":[4328,3836],"class_list":["post-216190","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216190"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216190\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}