Вирусы для атаки асус

Обновлено: 01.05.2024

Как злоумышленники получили доступ к серверам компании и как проверить свой компьютер.

Asus Live Update — предустановленная программа на большинстве компьютеров Asus , которая используется для автоматического обновления драйверов, BIOS и фирменных приложений.

Хакеры из APT-группировки ShadowHammer получили доступ к серверам компании и контролировали Live Update с июня по ноябрь 2018 года. На протяжении этого времени владельцы компьютеров Asus скачивали Live Update со встроенным бэкдором — уязвимостью, которая позволяет злоумышленникам заражать компьютеры.

Злоумышленники смогли получить доступ к части серверов Asus, связанных с подписанием файлов цифровыми сертификатами. Хакеры подписывали взломанный файл приложения Live Update от 2015 года и загружали его на серверы компании — liveupdate01s.asus[.] com и liveupdate01.asus[.] com. Пользователи получали уведомление об обновлении Live Update и скачивали взломанный файл.

Приложение при этом не показывало обновлений, и в нём присутствовали опечатки, но грамматические ошибки были и в другом ПО от Asus, замечает один из пользователей.

В 2017 году специалисты по кибербезопасности обнаружили две атаки на цепочку поставок — одна из них затронула приложение CCleaner, вторая распространяла вирус-вымогатель NotPetya через бухгалтерское ПО.

Это не первая атака группировки хакеров ShadowHammer: исследователи считают, что ранее она провела атаку ShadowPad на корпоративное ПО компании NetSarang, а также связана со взломом CCleaner.

По словам специалистов Avast, несмотря на то, что от атаки на CCleaner пострадало неколько миллионов человек, основной целью были крупные технологические и телекоммуникационные компании в Японии, Тайване, Великобритании, Германии и США.

26 марта 2019 года Asus заявила о выходе исправленной версии приложения, изменениях в серверной части, а также рассказала, что заражению подверглись только ноутбуки. Компания считает, что атака была направлена на определенную группу пользователей и пострадало небольшое количество устройств.

26 марта 2019 года Asus выпустила обновленное приложение Live Update с версией 3.6.8, в котором устранила уязвимость и предлагает использовать специальное приложение для проверки системы на уязвимости.

По данным исследования IDC, российский рынок персональных компьютеров в 2018 году составил 5,79 млн штук. Первое место занимает HP c 23,2% от всех поставленных за 2018 год ПК, далее следуют Lenovo (18,2%), Asus (13,6%), Acer (13,5%) и Dell (5,7%).

Поставки ноутбуков в 2018 году составили 3,9 млн штук, наибольшее количество устройств выпущены под брендами HP, Lenovo и Asus.

Как минимизировать последствия атаки шифровальщика для компании.


18 февраля 2021

В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Часть первая: ищем и изолируем

Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.

Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.

При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.

После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.

Часть вторая: зачищаем и действуем

После проверки периметра у вас будет список машин с дисками, полными зашифрованных файлов, а также образы этих дисков. Все машины уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу же взяться за восстановление, но лучше, как уже было сказано выше, их пока не трогать, а заняться безопасностью всего остального хозяйства.

Для этого проведите внутреннее расследование: покопайтесь в логах и попытайтесь понять, на каком компьютере шифровальщик появился в первую очередь и почему его там ничто не остановило. Найдите — и уничтожьте.

По итогам расследования, во-первых, зачистите сеть от сложных и особо скрытных зловредов и, если возможно, заново запустите работу бизнеса. Во-вторых, разберитесь, чего же не хватило в плане программных средств обеспечения безопасности, и устраните эти пробелы. В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры. Наконец, в-четвертых, озаботьтесь своевременной установкой обновлений и патчей — пусть это будет приоритетом для IT-администраторов, поскольку часто зловреды лезут через уязвимости, для которых уже выпустили заплатки.

Часть третья: разбираемся с последствиями

На этом этапе угрозы в сети больше нет, и дыры, через которую она пролезла, тоже. Самое время вспомнить, что после инцидента остался парк неработающих компьютеров. Если для расследования они уже не нужны, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного незадолго до заражения.

Если резервной копии нет, то придется пытаться расшифровать то, что есть. Зайдите на сайт No Ransom — есть шанс, что там найдется дешифратор для именно вашего шифровальщика. Если не нашелся — напишите в поддержку компании, которая предоставляет вам услуги в сфере кибербезопасности. Не исключено, что там смогут помочь.

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

Еще об инциденте придется говорить. Причем буквально со всеми: и с сотрудниками, и с акционерами, и с госструктурами, и, скорее всего, с журналистами… Говорить лучше честно и открыто, это ценят. Неплохим примером служит инцидент у промышленного гиганта Hydro в 2019-м, когда представители регулярно публиковали доклады о том, как разбираются с последствиями инцидента, и даже провели пресс-конференцию спустя несколько часов после заражения. В любом случае PR-отдел и compliance-менеджеров ждут жаркие деньки.

Часть четвертая: лучше не доводить

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:

Глубокое заражение: 5 угроз, проникающих в железо

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.

1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.

2 место: жесткие диски

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.

3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

4 место: интерфейс Thunderbolt

Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.

После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.

5 место: BIOS

Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.

С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.

Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.

Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.

Cyclops Blink обеспечивает персистентность на устройстве, предоставляя точку удаленного доступа к скомпрометированным сетям.

image

Несколько моделей маршрутизаторов ASUS уязвимы к атакам вредоносной программы Cyclops Blink. Cyclops Blink — вредоносное ПО, связанное с хакерской группировкой Sandworm. Cyclops Blink обеспечивает злоумышленникам персистентность на устройстве, предоставляя точку удаленного доступа к скомпрометированным сетям.

Поскольку Cyclops Blink является модульным, преступники могут легко обновлять его для работы с новыми устройствами, постоянно изменяя область действия.

Как сообщили специалисты Trend Micro, вредоносное ПО имеет специализированный модуль, предназначенный для нескольких маршрутизаторов ASUS, что позволяет вредоносному ПО считывать флэш-память для сбора информации о важных файлах, исполняемых файлах, данных и библиотеках.

Затем вредоносная программа получает команду внедрится во флэш-память и установить персистентность, поскольку данное пространство для хранения информации не стирается даже при сбросе к заводским настройкам.

В выпущенном бюллетене компания ASUS предупредила , что следующие модели маршрутизаторов и версии прошивки уязвимы к атакам Cyclops Blink: GT-AC5300 (3.0.0.4.386.xxxx), GT-AC2900 (3.0.0.4.386.xxxx), RT-AC5300 (3.0.0.4.386.xxxx), RT-AC88U (3.0.0.4.386.xxxx), RT-AC3100 (3.0.0.4.386.xxxx), RT-AC86U (3.0.0.4.386.xxxx), RT-AC68U, AC68R, AC68W и AC68P (3.0.0.4.386.xxxx), RT-AC66U_B1 (3.0.0.4.386.xxxx), RT-AC3200 (3.0.0.4.386.xxxx), RT-AC2900 (3.0.0.4.386.xxxx), RT-AC1900P и RT-AC1900P (3.0.0.4.386.xxxx), RT-AC87U (EOL), РТ-AC66U (EOL), РТ-AC56U (EOL).

Пользователям уязвимых устройств рекомендуется сбросить устройство до заводских настроек, обновиться до последней доступной версии прошивки, убедиться, что пароль администратора по умолчанию изменен на более безопасный, и отключить удаленное управление.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Читайте также: