{"id":218197,"date":"2019-05-19T02:01:34","date_gmt":"2019-05-19T00:01:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218197"},"modified":"2019-05-19T10:43:19","modified_gmt":"2019-05-19T08:43:19","slug":"neuer-asus-hack-ber-webstorage-cloud-speicherdienst","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/19\/neuer-asus-hack-ber-webstorage-cloud-speicherdienst\/","title":{"rendered":"Neuer ASUS-Hack &uuml;ber WebStorage-Cloud Speicherdienst"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Der taiwanesische Computerhersteller ASUS kommt nicht zur Ruhe. K\u00fcrzlich hat ein neuer Hack per Man-in-the-middle-Angriff ASUS-Kunden getroffen, die sich \u00fcber den Cloud Speicherdienst WebStorage Malware eingefangen haben. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/0aee182220524344a2d42448e862c706\" width=\"1\" height=\"1\"\/>Sicherheitsanbieter ESET <a href=\"https:\/\/www.welivesecurity.com\/2019\/05\/14\/plead-malware-mitm-asus-webstorage\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a> \u00fcber den neuen Fall, der sich k\u00fcrzlich ereignet hat. Bereits im Juli 2018 stellten die Sicherheitsforscher fest, dass die Backdoor Plead mit einem Code-Signing-Zertifikat digital signiert wurde, das auf die D-Link Corporation ausgestellt wurde. Die Plead-Malware wird seit mindestens 2012 eingesetzt und implementiert eine Hintert\u00fcr, die laut Trend Micro von der BlackTech-Hackergruppe f\u00fcr gezielte Angriffe genutzt wird. Die BlackTech-Hackergruppe ist vor allem auf Cyberspionage in Asien spezialisiert.<\/p>\n<h2>Angriff auf ASUS Cloud Speicherdienst WebStorage <\/h2>\n<p>K\u00fcrzlich tauchte der Trojaner Plead in Verbindung mit dem ASUS Cloud Speicherdienst WebStorage auf. Die ESET-Sicherheitsforscher bekamen dies Ende April 2019 mit, weil ESET-Telemetriedaten mehrere Versuche, die Plead-Malware auf ungew\u00f6hnliche Weise einzusetzen, meldeten. Die Plead-Backdoor wurde pl\u00f6tzlich von einem legitimen Prozess namens <em>AsusWSPanel.exe <\/em>erstellt und ausgef\u00fchrt. <\/p>\n<p>Dieser Prozess <em>AsusWSPanel.exe <\/em>geh\u00f6rt zum Windows-Client f\u00fcr einen Cloud-Speicherdienst namens ASUS WebStorage. Die ausf\u00fchrbare Datei <em>AsusWSPanel.exe <\/em>wurde von der ASUS Cloud Corporation digital signiert.<\/p>\n<p>Alle beobachteten Plead-Samples hatten den Dateinamen <em>Asus Webstorage Upate.exe \u2013 <\/em>der Dateinamen scheint einen Schreibfehler des Programmierers zu enthalten (das d fehlt in Update). ESET fand schnell heraus, dass das Modul <em>AsusWSPanel.exe <\/em>von ASUS WebStorage w\u00e4hrend eines legitimen Software-Updates Dateien mit solchen Dateinamen erstellen kann. <\/p>\n<p>Aber wie kann es dann sein, dass ein legitimer Prozess f\u00fcr ASUS WebStorage-Updates pl\u00f6tzlich Malware mit einer Hintert\u00fcr einschleust? Daf\u00fcr gibt es eigentlich nur zwei logische Erkl\u00e4rungen (wenn man ausschlie\u00dft, dass der Hersteller was im Schilde f\u00fchrt):<\/p>\n<ul>\n<li>Es gab einen erfolgreichen Supply Chain-Angriff auf die Software-Entwicklungskette und die Quellcodes bzw. die Bin\u00e4rdateien wurden heimlich beim Hersteller infiziert. Das war ja beim <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/25\/shadowhammer-asus-live-update-mit-backdoor-infiziert\/\">ShadowHammer-Angriff auf ASUS<\/a> k\u00fcrzlich der Fall.  <\/li>\n<li>Ein Man-in-the-middle-Angriff (MitM), bei dem legitime Downloads durch die Angreifer durch eine infizierte Variante ausgetauscht wurden. <\/li>\n<\/ul>\n<p>Genau das zweite erw\u00e4hnte Szenario eines MitM-Angriffs hat wohl im aktuellen ASUS-Fall stattgefunden. Die ASUS WebStorage-Software fordert \u00fcber HTTP&nbsp; ein Update vom Server <em>update.asuswebstorage.com<\/em> an. Dieser liefert eine Antwort im XML-Format zur\u00fcck. Die wichtigsten Elemente in der XML-Antwort sind eine Guid und ein Link. Das Guid-Element enth\u00e4lt die aktuell verf\u00fcgbare Version des Updates, das Link-Element die f\u00fcr das Update verwendete Download-URL. Der Aktualisierungsprozess ist einfach: Die Software pr\u00fcft, ob die installierte Version \u00e4lter ist als die neueste Version; wenn ja, fordert sie eine Bin\u00e4rdatei \u00fcber die angegebene URL an. <\/p>\n<p>Das macht es f\u00fcr Angreifer leicht, diesen Update-Mechanismus auszuhebeln. Gelingt es \u00fcber einen Man-in-the-middle-Angriff die XML-Datei abzufangen, lassen sich die beiden XML-Elemente austauschen. Genau dieses Szenario wurde von den ESET-Forschern beobachtet. <\/p>\n<h2>Gekaperter Router bezieht infizierte Updates<\/h2>\n<p>Bei den angegriffenen Zielsystemen wurden wohl (ungenannte) verwundbare Router verwendet, die die Hacker \u00fcber eine nicht abgesicherte Web-Schnittstelle unter ihre Kontrolle brachten. Sobald dann ein Update vom ASUS-Client <em>AsusWSPanel.exe<\/em> per HTTP angesto\u00dfen wurde, finden die Betr\u00fcger die XML-Antwort ab und tauschten die XML-Elemente aus. <\/p>\n<p>Damit gelang es, die mit der Hintert\u00fcr infizierte Datei <em>ASUS Webstorage Upate.exe<\/em> von einem gekaperte Server einer taiwanesischen Regierungs-Website herunterzuladen. Da ASUS offenbar keine Integrit\u00e4tspr\u00fcfung der Updates vornahm, konnte die Malware installiert werden. Nur installierte Sicherheitssoftware hatte die Chance, den Angriff zu erkennen. Laut ESET wurde die Schadsoftware wohl auf ca. 20 Rechnern verteilt. Der Vorgang zeigt, dass ASUS seine Sicherheitsstrukturen nicht im Griff hat, und dies nach dem ShadowHammer-Angriff. Neben dem <a href=\"https:\/\/www.welivesecurity.com\/2019\/05\/14\/plead-malware-mitm-asus-webstorage\/\" target=\"_blank\" rel=\"noopener noreferrer\">ESET-Beitrag<\/a> (Englisch) findet sich ein <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Schon-wieder-Asus-Hacker-infizieren-Rechner-ueber-Cloud-Speicherdienst-WebStorage-4425303.html\" target=\"_blank\" rel=\"noopener noreferrer\">deutschsprachiger Beitrag bei heise<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der taiwanesische Computerhersteller ASUS kommt nicht zur Ruhe. K\u00fcrzlich hat ein neuer Hack per Man-in-the-middle-Angriff ASUS-Kunden getroffen, die sich \u00fcber den Cloud Speicherdienst WebStorage Malware eingefangen haben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-218197","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}