ShadowHammer: ASUS Live Update mit Backdoor infiziert

[English]Benutzer, die das ASUS Live Update Utility auf ihre Computern installiert haben, wurden vermutlich zwischen Juni und November 2018 mit einer Backdoor infiziert. ASUS war 2017 laut Gartner der 5. größte Computerhersteller, entsprechend groß ist die Zahl der Betroffenen (es wird 1 Million geschätzt). Die Backdoor wurde von den gängigen Virenschutzlösungen lange Zeit nicht erkennt. Glück im Unglück für viele Betroffen: Die Angreifer hatten aber spezifische Ziele im Auge, die über diese Backdoor ausspioniert wurden. Ergänzung: ASUS hat das Live Update Utility aktualisiert und ein Prüftool für betroffene Systeme bereitgestellt. Zudem war ASUS seit 2 Monaten gewarnt und über unglaubliche Schlampereien informiert.


Anzeige

Angriff auf ASUS-Utility

Von Kaspersky Lab wurde im Januar 2019 eine neue Advanced Persistent Threat (APT)-Kampagne entdeckt – und heute öffentlich gemacht. Diese betraf wohl  Benutzer, die das ASUS Live Update Utility zwischen Juni und November 2018 auf ihren Computern heruntergeladen haben.

Das GReAT-Team (Global Research and Analysis) von Kaspersky Lab hat dieser bösartigen Kampagne die Namen ShadowHammer gegeben. Kim Zetter von Motherboard berichtete, dass die hinterlegte Version des ASUS Live Updates von mehr als 57.000 Kaspersky-Anwendern heruntergeladen und installiert wurde. Das Forschungsteam schätzt aber, das eine viel größere Anzahl Benutzer, man geht von einer Gesamtzahl von über einer Million infizierten Computern aus, betroffen ist.

ASUS-Utility in einer Supply Chain Attack infiziert

ASUS Live Update ist ein Dienstprogramm, das auf den meisten ASUS-Computern vorinstalliert ist und zur automatischen Aktualisierung bestimmter Komponenten wie BIOS, UEFI, Treiber und Anwendungen verwendet wird. Eine solche Komponente ist ein gefundenes Fressen für jeden Angreifer.

Ein erfolgreicher Angriff der Lieferkette (Supply Chain Attack) für ein solches Tool ist einer der gefährlichsten und wirksamsten Infektionsvektoren, die in den letzten Jahren zunehmend in fortgeschrittenen Operationen genutzt wurden (wie man bei ShadowPad oder CCleaner gesehen hat). Ein solcher Angriff versucht spezifische Schwächen in den miteinander verbundenen Systemen aller am Produktlebenszyklus Beteiligten auszunutzen. Während die Infrastruktur eines Anbieters wie ASUS oft als sicher bezeichnet werden kann, bestehen möglicherweise in den Einrichtungen Vorlieferanten oder in den Übergabeschnittstellen Schwachstellen.

Gelingt es, diese Komponente beim Hersteller zu infizieren (Supply Chain Attack), wird die infizierte Software auf sehr viele Geräte ausgerollt. Die Akteure hinter ShadowHammer zielten auf das ASUS Live Update Utility als erste Infektionsquelle ab. Denn dieses Tool wird von ASUS ja auf seinem Maschinen vorinstalliert.

Mit Hilfe gestohlener digitaler Zertifikate, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, haben die Angreifer ältere Versionen der ASUS-Software manipuliert und ihren eigenen bösartigen Code für eine Backdoor injiziert. Trojanische Versionen des Dienstprogramms wurden dann mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und anschließend auch verteilt.

Schutzlösungen blind, Opfer gezielt ausgesucht


Anzeige

Dieser Verteilungsweg über den Hersteller machte die kompromittierte Software für die überwiegende Mehrheit der Schutzlösungen weitgehend unsichtbar, wie Kaspersky schreibt. Möglicherweise ließen sich die ‘Schutzlösungen’ durch die digitale Signatur täuschen.

Theoretisch hätte die Infektion bedeutet, dass potenziell jeder Benutzer der betroffenen Software zum Opfer hätte werden können. Aber die Akteure hinter ShadowHammer konzentrierten sich darauf, Zugang zu mehreren hundert Benutzern zu erhalten. Über diese Benutzer wussten die Angreifer bereits Bescheid.

Wie die Forscher von Kaspersky Lab herausfanden, enthielt jeder Backdoor-Code eine Tabelle mit fest kodierten MAC-Adressen – die eindeutige Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird. Sobald sie auf dem Gerät eines Opfers ausgeführt wurde, überprüfte die Backdoor die MAC-Adresse des Geräts anhand einer Tabelle. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter.

Andernfalls zeigte der infiltrierte Updater keine Netzwerkaktivität. Deshalb blieb die Infektion des Utility so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten von Kaspersky mehr als 600 MAC-Adressen identifizieren. Diese wurden von über 230 einzigartigen Backdoor-Modulen mit jeweils unterschiedlichen Shellcodes angesprochen.

Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Ausführung des Backdoor-Codes, zeigen, dass es für die Akteure hinter diesem anspruchsvollen Angriff sehr wichtig war, unentdeckt zu bleiben. Gleichzeitig verfolgten die Akteure einige sehr spezifische Ansätze, um die Ziele mit chirurgischer Präzision zu treffen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand der Akteure widerspiegelt.

Die Suche nach ähnlicher Malware hat Software von drei anderen Anbietern in Asien ergeben, die alle mit sehr ähnlichen Methoden und Techniken infiziert wurden. Kaspersky Lab hat das Problem Asus und die anderen Anbietern gemeldet.

“Die ausgewählten Anbieter sind äußerst attraktive Ziele für APT-Gruppen, die deren große Kundenbasis nutzen wollen. Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Die Techniken zur Erzielung einer unbefugten Codeausführung sowie andere entdeckte Artefakte deuten jedoch darauf hin, dass ShadowHammer wahrscheinlich mit dem BARIUM APT zusammenhängt, das zuvor unter anderem mit den Vorfällen ShadowPad und CCleaner verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie anspruchsvoll und gefährlich ein Angriff auf eine Lieferkette heute sein kann”, sagte Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab.

Was man als Betroffener tun kann

Für Nutzer, die das ASUS Live Update-Utility auf ihren Windows-Systemen verwenden, stellt sich die Frage, was man tun kann, um nicht Opfer eines gezielten Angriffs zu werden. Kaspersky schlägt folgende Maßnahmen vor:

  • Implementieren Sie nicht nur eine unverzichtbare Antiviruslösung (Endpunktschutz), sondern auch eine unternehmensweite Sicherheitslösung, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt. Hier wird natürlich die Kaspersky Anti Targeted Attack Platform beispielhaft genannt.
  • Zur Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen empfehlen die Kaspersky-Sicherheitsforscher die Implementierung von EDR-Lösungen wie Kaspersky Endpoint Detection and Response oder die Kontaktaufnahme mit einem professionellen Incident Response Team;
  • Integrieren Sie Threat Intelligence-Feeds in ihr SIEM und andere Sicherheitskontrollen, um Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten zu erhalten und sich auf zukünftige Angriffe vorzubereiten.

Kaspersky hat zudem ein Offline Utility sowie einen Online Web Checker bereitgestellt. Mit den Tools können Nutzer überprüfen, ob ihre Computer durch ShadowHammer infiziert wurden. Das Offline-Tool muss lokal entpackt werden und meldet, ob man infiziert ist (mangels ASUS-Rechnern bekomme ich aber eine Meldung, dass keine Infektion vorliegt).

ShadowHammer Web Checker

Beim Online Web Checker muss man die MAC-Adresse in ein Formular eingeben und erhält die Rückmeldung, ob diese von der Backdoor berücksichtigt wird (siehe Screenshot). Die Schritte zum Ermitteln der MAC-Adresse über ipconfig /all lassen sich über einen Weblink im Formular des Web-Checker abrufen.

Kaspersky Lab will die vollständigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen. Addenum: Ergänzende Informationen finden sich in dem nun von Heise hier veröffentlichten Artikel. (via)

Ergänzung: ASUS Live Update Utility 3.6.8 und Prüftool

ASUS hat die Version 3.6.8 der ASUS Live Update Utility bereitgestellt, die diese Backdoor nicht mehr aufweist. Details erfährt man auf dieser ASUS-Webseite. In dieser Stellungnahme geht ASUS auf das Thema ein, erwähnt die neue die Version 3.6.8 der ASUS Live Update Utility und ein Prüftool, mit dem man das System auf eine kompromittierte Version mit der Backdoor überprüfen kann. Das Tool gibt es über diese Datei ASDT_v1.0.1.0.0.zip. (via)

Ergänzung 2: Ich habe noch was zu unglaublichen Schlampereien bezüglich der Sicherheit im Artikel Backdoor: ASUS war seit Monaten vor Risiken gewarnt geschrieben.


Anzeige
Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu ShadowHammer: ASUS Live Update mit Backdoor infiziert


  1. Anzeige
  2. mike sagt:

    Einmal mehr ist auf der sicheren Seite wer keine solchen Update-Tools verwendet, hatte früher immer ASUS-Boards, aber so ein Live-Update Programm habe ich nie benutzt, auch bei meinen aktuellen Computern ist soetwas nicht drauf.

    Aktualisierungen von BIOS, Treibern und Software mache ich immer von Hand oder lasse es bleiben wie bei den BIOS-Updates wegen Spectre etc. die sowieso nichts bringen ausser Leistungsverlust.

  3. Steter Tropfen sagt:

    Mit derartigen Life-Update-Tools trifft man natürlich genau diejenigen, die sich mit ihrem Rechner nicht auskennen. Die nehmen den Rechner tatsächlich so in Betrieb, wie er geliefert wird, oder haben aus Unsicherheit alles installiert, was der Hersteller an „Tools“ anbietet.
    Oft sind die Namen der Werkzeuge ja auch ein derartiges Marketing-Blähbläh, dass man jede Menge Ballast auf den Rechner geschaufelt hat, bis man endlich die für die Fn-Funktionstasten benötigte Software erwischt.

    Gerade solche Update-Suchhelfer sind in der Praxis die größte Enttäuschung: Oft genug ist ein Update fürs Update-Tool das einzige, was damit noch gefunden wird, kaum dass das Modell ein Dreivierteljahr auf dem Markt ist. Oder es werden ganz ganz wichtige Treiberaktualisierungen für Komponenten angezeigt, die überhaupt nicht im Rechner verbaut sind.

  4. Anzeige

  5. 1ST1 sagt:

    Ich frage mich, wie die Angreifer die Zuordung Zielperson zu MAC Adresse hinbekommen. Denn die MAC Adresse wird ja bei gerouteten Netzen nicht ins Internet übertragen.

    Die zweite Frage ist, wer steckt dahinter? Potentiell 1 Mio Systeme zu infizieren, um 600 anzuzapfen, ist ein enormer Schrotflintenangriff. Sowas kann sich eigentlich nur ein namhafter Geheimdienst leisten.

    Und die dritte Frage ist, verwenden zufälligerweise alle Zielpersonen von Geheimdiensten ausgerechnte ASUS Systeme? Sind auch andere Boardhersteller mit vergleichbaren Tools betroffen?

  6. wufuc_MaD sagt:

    lenovo z.b.? da kannst du bios updates herunterladen, die du vor 3 jahren schonmal heruntergeladen hast und rätseln was der blödsinn soll. fehlende treiber im windows gerätemanager sind aus meiner sicht nur augenwischerei (bei neuen lenovo geräten).

    oder hp, wo du ein bios update herunterlädst und dann feststellst, dass microsoft schneller war. das vorhandene bios besitzt eine höhere versionsnummer als das letzte verfügbare auf der herstellerwebsite.

    oder medion (=lenovo), wo du eine standardmäßig aktivierte option im firmware interface entdeckst, die ms die aktualisierung übers internet erlaubt..

    oder acer, wo du dich zurücklehnen kannst um windows live beim ungefragten bios update zuzusehen..

    “sie können alles uns überlassen” (ansage auf schwarzem hintergrund während der installation der aktuellen win10 version)

    oder nvidia, wo du im temporären verzeichnis dateien findest die zeigen wie aufgeregt der… bildschirmtreiber offenbar ist, wenn du dabei bist einen amd treiber zu aktualisieren. (kein witz! nichts hiervon ist erfunden!)

    betroffen ist das richtige wort! da brauchst du garkein tool für! es ist doch kaum noch zu übersehen wo das hinführt, mir gefällt’s ganz und gar nicht!

  7. Zanza sagt:

    Wie kann es sein, dass man inzwischen auf fast jeder Webseite etwas dazu lesen kann nur nicht bei Asus selbst?

  8. Robert sagt:

    Also, nach einem Check mit den Tools auf einem Asus-Rechner, sowohl dem Online Checker für die MAC-Adressen, als auch mit dem Offline Tool, wurde mir ebenfalls gemeldet, dass nichts vorliegt.
    Grund hierfür dürfte wohl sein, dass das Asus Update-Tool ausgestellt wurde – ich hatte es für den Fall der Fälle auf dem Rechner gelassen, aber das automatische Updaten etc. vor Urzeiten ausgestellt wurde.

  9. Anzeige

  10. Micha sagt:

    Privat verbaue ich gerne ASUS Hardware. Das Updatet-Tool habe ich nicht installiert.

    Auch den von ASUS überarbeiteten Soundtreiber für die Realtek Soundkarte habe ich wegen Problemen gegen den Basistreiber von Realtek ausgetauscht.

    Nach dem anschließen eines Aktivlautsprechers wurde immer der Kopfhörerverstärker auf stufe extrem gestellt. Das Hörte sich dann echt gruslig an.

    Bei Laptops kann man die Funktion der Funktionstasten häufig im Bios konfigurieren ob man Normale Funktionstasten (F1-F12) Belegung als default haben möchte oder eben Geräte spezifische Funktionen.

  11. Davide Russo sagt:

    Was für ein Reputationsschaden für ASUS.

    Ich empfehle auch jeweils das Biosupdate manuell im Bios anzustossen. Das Liveupdate Tool ist natürlich für den normalsterblichen Benutzer einfacher, als ins Bios/Uefi zu gehen und dort manuell das Update durchzuführen. Auch habe ich festgestellt das im Bios jeweils Updates nicht gefunden werden, obwohl Sie auf der Webseite publiziert sind.

    Das einem renommierten Hersteller wie ASUS ein solches Desaster passiert, ist echt bedenklich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.