安全厂商ESET发现,攻击者通过家用路由器以及中间人攻击(man-in-the middle,MitM)手法,对华硕网络硬盘服务WebStorage软件感染恶意程序。
ESET安全研究人员Anton Cherepanov在今年4月,发现这波以Plead后门程序为感染源的攻击行动。这并不是Plead第一次被发现对台湾公司下手。去年7月Cherepanov也发现黑客组织BlackTech窃取友讯(D-Link)及全景软件的数字凭证以签发传播Plead。
Plead为趋势科技于2014年首先披露,专门针对台湾政府部门及中高端主管下手,主要目的在窃取机密信息。BlackTech也会利用漏洞的路由器为跳板来散发Plead。虽然Plead主要以亚洲为间谍活动范围,但以台湾为最活跃地区。
根据ESET研究人员的分析,华硕的WebStorage服务攻击涉及其客户端软件(也名为ASUS WebStorage)。研究人员发现,Plead是由AsusWSpanel.exe产生并执行,而原理可能如同友讯案例一样,是华硕云计算(ASUS Cloud Corporation)的凭证遭窃,而签发了冒名为Asus Webstorage Upate.exe的Plead可执行文件。
研究人员在过去研究中发现,大多数受影响的企业或部门都是使用同一家公司的路由器,且其管理接口都可由互联网访问,因此判断黑客在这次事件也可能经由路由器层,利用华硕的路由器将PLEAD传播到同网络的计算机上。
至于这个过程为何会启动,关键即在中间人攻击。ASUS WebStorage客户端软件和服务器间的下载更新文件过程,是经由HTTP创建调用连接及发送文件,这个软件在执行前不会验证下载文件的真实性。因此只要连接被攻击者拦截,就能引导它下载恶意文件。
研究人员发现,攻击者修改了连接的二个指令元素,引导ASUS WebStorage连向台湾政府一个被入侵的gov.tw域名,下载恶意文件,而非华硕服务器提供的真实更新文件。
ASUS WebStorage在用户端部署Plead后,这个后门程序就扮演第一阶段的下载程序(downloader)。之后从外部服务器多阶段下载文件,包括一个Windows PE binary档及DLL档,后者目的在和C&C服务器创建连接,执行窃密及安装TSCookie程序的任务。
对华硕来说可谓祸不单行。三月底华硕更新服务传出遭名为ShadowHammer行动的供应链攻击,其更新服务器被恶意程序入侵用来传播后门程序,时间可能长达5个月,受害计算机数量恐高达百万。
ESET研究人员指出,近来的供应链和中间人攻击显示黑客手法更转趋狡猾,而且能造成更大规模的受害范围。这也说明了软件厂商不但要防范其开发环境被入侵,还要使用更安全的产品更新机制,以防止中间人攻击。