piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

バックドア化したASUS Live Updateを通じた攻撃(Operation ShadowHammer)についてまとめてみた

Kaspersky LabはASUSが提供するソフトウェア「ASUS Live Update」がバックドア化し、一部ユーザーを対象にマルウエアを配布する攻撃が展開されていたとして調査結果の一部を発表しました。この攻撃を同社は「Operation ShadowHammer」と呼称しています。ここでは関連する情報をまとめます。

Kaspersky Labの調査報告

securelist.com

また同社の調査報告についてMotherboardが取材した記事が公開されている。
motherboard.vice.com

  • 2019年3月21日に取材依頼を行っているがASUSからの返事がない模様。

ASUSの反応

  • MotherboardによればKaspersky Labの情報提供以降、ユーザーへの通知は確認されていない。
  • Kaspersky Labの調査によれば問題の証明書の内、無効化されたのは1件で、2件は有効な状態が継続している。
  • The Vergeの取材に対して26日中に公式に声明を出すとASUSがコメント。*1

タイムライン

日時 出来事
2018年5月3日 何者かによるセカンドステージのマルウェア通信先の登録日。
当該期間中に攻撃が発生していた可能性。
2018年11月頃 セカンドステージの通信先がシャットダウン。
2019年1月27日 Kaspersky Labの研究者がこの問題を確認。
2019年1月31日 Kaspersky LabがASUSに対してこの問題に関する情報提供。
2019年2月14日 Kaspersky LabがASUSと会合。
2019年3月25日 MotherboardがASUSのサプライチェーン攻撃について報道。
同日 Kaspersky LabがOperation ShadowHammerとして調査結果の一部を公開。
2019年4月8日~11日 Operation ShadowHammerについてSASで発表予定。
  • 時差を考慮していないため日時が前後している可能性があります。

攻撃の手口

f:id:piyokango:20190326062557p:plain

  • ASUS社のアップデータを用いたサプライチェーン攻撃。
  • バックドア化したASUS Live Updateを通じてマルウェアに感染する可能性があった。
  • 問題のASUS Live UpdateはASUSのサイトから配布されていた。

影響範囲

国別のバックドア化したアップデータをインストールしたとみられる台数内訳。

Kaspersky Lab
(約57000台検出)
Symantec
(約13000台検出)
ロシア 約18%(約1万台)
ドイツ 約16%(約9千台) 約4%(約5百台)
フランス 約13%(約7.4千台) 約9%(約1.2千台)
イタリア 約6%(約3.4千台) 約11%(約1.4千台)
米国 約6%(約3.4千台) 約13%(約1.7千台)
スペイン 約4%(約2.3千台)
ポーランド 約3%(約1.7千台)
英国 約2%(約1千台) 約7%(約9百台)
スイス 約2%(約1千台)
スウェーデン 約3%(約4百台)
ポルトガル 約2%(約1千台)
カナダ 約2%(約1千台) 約6%(約8百台)
台湾 約2%(約1千台) 約4%(約5百台)
オーストラリア 約2%(約1千台) 約12%(約1.6千台)
日本 約2%(約1千台) 約6%(約8百台)
ブラジル 約2%(約1千台)
  • 台数はpiyokangoが算出したため正確な数字ではない。
  • Kaspersky Labは詳細な数字を出していないため、凡その割合で算出。
(1)Kaspersky Labの調査

  • Kaspersky Lab製品ユーザーの内、5万7千人以上がこの手口を通じてインストールしていることを確認。
  • Kaspersky Labは15か国の感染割合を表示。
  • ロシアが約18%、日本ユーザーも約1%後半程度存在する。
  • 2018年10月28日にユーザーの一人がセカンドステージのマルウェアに感染した可能性がある。
  • 世界中のユーザー(100万人以上)に影響が及んでいる可能性を指摘。
(2)Symantecの調査

www.symantec.com

  • Motherboardからの情報提供を受け、Symantecも影響を受けたかを調査。
  • Symantec製品ユーザーの内、少なくとも1万3千台のPCが感染。
  • トップの約13%が米国ユーザー。日本ユーザーは約7%。
  • 約8割がコンシューマー、残りが組織からの感染。
  • アップデータを通じて別のマルウェアの感染者がいるか確認中。
  • 問題のアップデータがASUS社のサーバーからダウンロードされたものとSymantecも確認した。
  • 最大で50万台の端末に影響が及んだ可能性を指摘。
(3)Redditに関連する書き込みか

www.reddit.com

  • RedditにASUSのアップデータの不審な挙動を取り上げたスレッドが存在。
  • ASUSFourceUpdater.exeというプログラムで表示されたもの。
  • "Force"のスペルミスや詳細部が空欄表示となっている問題が指摘されていた。
  • GreyWolfx氏らがVirustotalやウィルス対策ソフトでの検証結果を報告している。
  • その当時は特段の懸念事項がスキャナで確認されず問題なしとされていた。

対象はMACアドレスで選別

  • バックドア化したアップデータはMACアドレスによって標的とするか識別。
  • Kaspersky Labが確認した200以上のマルウェアから600以上の固有のMACアドレスを抽出。
  • MACアドレスはアップデータにMD5ハッシュ値でハードコードされていた。
  • 標的リストはKaspersky Labが確認した範囲であり他にも標的が存在する可能性あり。
  • 標的リストにはASUS製のプレフィックスも存在する。*2
  • 対象のMACアドレスでない場合、セカンドステージのマルウェアは取得しない。
攻撃対象かの確認
  • 攻撃対象確認ツールとしてKaspersky Labはスタンドアロン、オンラインの2つの手段を用意。
  • オンライン版はKaspersky Labが解読できた600件程度のMACアドレスのリストをもとに調査するもの。
  • 対象のMACアドレスを利用する端末かを確認するもの。
  • チェックで対象となった場合も侵害が確定するものではない。
  • ターゲットとなっていた場合はKaspersky Labへメール(shadowhammer@kaspersky.com)で連絡をしてほしいと依頼。
(1)スタンドアロン(Exe)による確認

Kaspersky Labが公開するExeを実行する。
https://kas.pr/shadowhammer
(Sha1: 2956BFCBD49D5755AE2B7960C5F66841C139B232)

対象でない場合は次の表示がされる。
f:id:piyokango:20190326051317p:plain

非公式だが該当する場合は次のような表示がされるものとみられる。

IMPORTANT
It appears you have been targeted!
Please send us an email to shadowhammer@kaspersky.com
(2)オンラインによる確認

f:id:piyokango:20190326051554p:plain
Kaspersky Labが公開する特設サイトにMACアドレスを入れ確認する。
shadowhammer.kaspersky.com

対象外の場合は次のように表示される。
f:id:piyokango:20190326051614p:plain

バックドア化したアップデータ

  • ASUS Live Updateは工場出荷時に標準でインストールされているユーティリティソフト。
  • 有効化後は定期的にBIOS、UEFI、ドライバなどのアップデートをチェックする。
  • 問題のアップデータはこのソフト自体のアップデートを通じて配布されたとみられる。
  • Kaspersky Labはユーティリティを利用し続ける場合は最新版へのアップデートを推奨している。*3
ASUS社の証明書を利用
  • バックドア化したアップデータにはASUS社の正規証明書が用いられていた。
  • 証明書の悪用は2件確認されている。
  • 1件目は2018年半ばに期限が切れ、その後別のASUSの証明書に切り替えられた。
  • Setup.exeに署名されている証明書は2019年3月26日時点でまだ有効な状態。

f:id:piyokango:20190326054244p:plain

攻撃の背景、アクター
  • Operation ShadowHammerの正確な背景は現時点で判明していない。
  • Kaspersky Labが収集したエビデンスからShadowPadのアクターとの関与を疑っている。
  • ShadowPadのアクターはMicrosoftからBARIUMとも呼称されているもの。
  • BARIUMはWinntiバックドアを利用するアクター。
  • このアクターはCCleanerの攻撃にも関連がみられるもの。
  • ASUSもCClenaerの攻撃の対象となっていた。

IOC

アップデータの通信先
asushotfix.com
141.105.71.116
  • 現在はドメイン。
  • セカンドステージマルウェアの取得に用いられたとみられる。
  • 2018年6月~11月にかけて稼働していたとみられる。
パッケージ配布に用いられた通信先
hxxp://liveupdate01.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
マルウェア配布に用いられたアップデータサンプル

Liveupdate_Test_VER365.zip

更新履歴

  • 2019年3月26日 AM 新規作成
  • 2019年3月26日 AM 情報追加、誤植修正
  • 2019年3月26日 PM 情報追加