华硕软件更新服务器竟成恶意后门派送帮凶最新消息

【华硕更新服务被攻破，Live Update更新档被植入后门】根据卡巴斯基的调查，骇客可能入侵控制了华硕的更新服务，因此在升级软件安装档中注入短短的恶意程式码，还使用合法的程式码签章凭证，再推送给用户升级为包含后门的更新程式。（图片来源：卡巴斯基）

在2019年3月底，一起关于华硕笔电的软件供应链攻击事件，引起全球关注，不仅因为华硕为台湾电脑设备大厂，也是全球前五大电脑品牌之一，拥有相当多的用户，所以影响范围广大。

揭露此事件的资安业者卡巴斯基，特别将此复杂的供应链攻击，命名为“ShadowHammer”，并在他们搜集的恶意程式样本中，逆向找出写死在程式码的600笔MAC位置清单，也就是这次攻击最可能锁定的目标。而随着事件的发现与曝光，也中断了这次攻击行动的继续发展。

不过，这次华硕更新服务器遭入侵的事件，已经让台湾的企业与用户更感受到软件供应链攻击的威胁，同时，还引发企业对更新服务安全，以及数位签章凭证安全的关注。因为近年来，已有多起软件供应链攻击，是与服务更新服务器有关，而华硕也为此撤销现行的程式码签章凭证，甚至他们又在4月13日公告，要将旗下的主板、显卡、迷你电脑、工作站、服务器等产品，执行多重性程式码签章凭证架构升级。

若更深入探究下去，这样的事件也再次引发各界对当今供应链的信任问题，以及在开发流程到更新管理的讨论。

华硕本身非最终目标，但因此受影响用户遍及全球

关于华硕软件更新服务器遭入侵一事，资安业者卡巴斯基先是在1月29日，确认这起涉及华硕Live Update服务的攻击活动，并于隔日通知华硕，后来于3月25日曝光于媒体，当日晚间华硕也针对此事发表声明。而根据卡巴斯基实验室的调查结果显示，骇客散布恶意更新的时间是在2018年6月到11月间，并指出被骇客偷偷改装成木马程式的华硕Live Update，因为使用了合法的数位签章，所以不容易被察觉。

值得注意的是，在这次事件中，从影响范围上，可以分成2个不同层面来看，包括受此攻击过程所影响到的用户，以及这次供应链攻击的主要目标。

首先，根据卡巴斯基的调查，他们统计到有5万7千名卡巴斯基用户，下载并安装了具有后门的华硕Live Update版本，同时他们还估计，在全球可能有超过一百万的用户受影响。

这也看出供应链攻击所影响的规模，相当广大，毕竟华硕在全球多个国家都有销售笔电，受波及的用户非常多。

在3月26日，另一家资安业者赛门铁克也公布关于华硕软件更新与供应链攻击的调查，他们指出有1万3千台他们的用户电脑，曾经被他们侦测到木马程式的更新。特别的是，他们并从这些用户的区域位置做出统计，其中，美国、澳洲、意大利占比都在10%以上，接下来是法国、英国、加拿大、日本、德国、台湾与瑞典，这也印证了受此事件影响的用户遍及全球。

关于可能的攻击目标方面，根据卡巴斯基的说明，他们在1月底至3月期间，已经与多次与华硕讨论此攻击活动的发现，包括两次面对面的电话会议，接着，卡巴斯基也在搜集的230份恶意程式样本中，发现600多个MAC位址清单，因此在3月8日将此新发现提供给华硕。

而这样的迹象也意谓著，这些装置可能才是这次攻击行动的主要目标，因为，每一笔MAC位址，也就代表一台装置使用的网络界面位址。简单来说，骇客这次攻击先是向华硕笔电用户递送恶意的更新程式，接着将进行第二阶段的行动，就可能是要针对这些目标所在电脑，发动更进一步的攻击。

但随着此一事件的曝光，相关攻击行动也因此被中断。对此，我们也询问了卡巴斯基台湾技术总监谢长轩，他表示，以现况来讲，当时他们公布相关资讯时，就已经列出了入侵指标（Indicators of Compromise，IOC），当中包含IP地址、网域名称，还有相关特征等，在这样的情资分享下，其他资安业者的解决方案可以套用这个IOC来侦测。

同时，卡巴斯基也提供给一般用户可识别ShadowHammer的工具程式，以及检查自己是否为锁定目标的MAC位置清单检查网页。而华硕也提供了一个名为ASDT的检测程式，可帮助民众检查自己的Live Update工具程式，确认是否更新至最新版。

而在此之前，是否有其他资安业者可能侦测到相关问题，并阻挡下来？像是透过木马化的Live Update下载了其他恶意程式的活动。谢长轩表示，对于资安业者而言，每天有相当多的恶意攻击发生，这些防护的机制大多是机器自动进行，在一些状况下，才会以人为方式介入去调查。

关于这次事件，谢长轩透露了更多的细节。他们在去年12月底接到客户通知电脑有问题，在协助进行IR事件回应过程中，才发现恶意程式为何是透过合法的软件而来。因此他们再从Hash值去比对，回头找出第一次与最后一次看到此样本的时间，以统计出他们客户中受影响的数量。

当然，为了要向他人说明这个合法的软件有问题，谢长轩表示，这还必须要更深入的去分析该程式的内容，而卡巴斯基也在确认后，将此攻击行动通知华硕，双方并在后续进行多次此事件的讨论。而对于通报这样的动作，他表示，全球有400家大大小小的防毒业者，如果都无法发现异常而进一步调查，此供应链攻击的潜伏期就会更长。

原本信赖的更新机制与数位签章被滥用，成为事件中的安全焦点

在这次华硕事件中，更新服务器与程式码签章凭证的安全防护问题，更是成为不可忽视的焦点。

简单来说，这个Live Update是华硕在自家笔电所附上的工具程式，主要是为了帮助使用者保护与增强设备安全，可透过这款工具，获得自动且即时的软件更新。例如，在网络上检查华硕的更新服务器，是否有系统适用的最新BIOS、固件、驱动程式及工具程式等。

但是，这种原本帮助改善系统安全的管道，如今却被骇客利用成为散布恶意后门的工具。一旦用户在更新服务器受害期间下载更新，安装了被攻击者偷偷加料的更新程式，成为骇客传送其他恶意程式的入口。由于这种用户信赖的系统更新工具遭到滥用，又不易察觉，而被多方关注。

不仅是更新服务器的安全，还有程式码签章凭证问题受到议论，因为这个被注入后门的更新程式，也使用了华硕的程式码签章凭证。

为何骇客要取得业者的程式码签章凭证？因为这可以避过既有的一些防护机制。例如，现有的基本资安防护机制会倾向相信此凭证资讯，认可该公司的这个软件没有被别人窜改过，是由签章拥有人发布。但如果骇客取得签章并帮加料的更新程式盖章，等于帮自己加上一个合法的护身符，而能在对方信任的情况下，不受到拦阻。

另外又衍生的状况是，当华硕推出ASDT检测工具时，国外资安研究人员GiuGiuseppe `N3mes1s`在推特上指出，该工具被微软Windows Defender误判为恶意程式，这样的乌龙事件，其实也是受到程式码签章凭证的影响，因为已有一些资安公司，得知此数位签章有冒用问题，因此先采不信任的态度，将之排除在白名单以外。

对此，谢长轩也进一步说明，在他们通报华硕之后，后续虽然没有发现新的恶意样本，但在3月时，华硕新发布的软件仍是使用有问题的程式码签署，因此他们提醒对方应尽快做出处理。而最简单的动作，就是注销骇客入侵冒用的数位签章，至少各家安全业者就能在检查签章时，发出警告资讯，并要注意新的签章凭证不会再次遭窃。

同时，谢长轩也提到Blind Trust的议题，对于信任凭证这样的机制，部分作法更为严谨的业者，不会单单只是依赖凭证检查，还有其他的作法一起搭配，也会有人去介入调查分析的情况。但在目前市场现况下，签章凭证仍是较普遍使用的一种方式，并且具有效率，未来要用什么样的机制来改善，将是挑战。

骇客使用华硕的数位签章而使得恶意更新难以被察觉

根据卡巴斯基的研究指出，这次事件中被注入恶意程式码的华硕Live Update程式，使用了合法的数位签章，因此难以被察觉。

面对骇客组织滥用凭证的威胁，卡巴斯基提醒华硕应注销被入侵的凭证

根据卡巴斯基的研究指出，骇客可能窃取了华硕数位凭证的副本，或是滥用了华硕内部安装凭证的系统，因此认为这些被入侵的凭证应该要被注销。但是，在他们向华硕报告的一个月后（如同中显示3月10日），他们发现华硕新发布的软件仍使用被入侵的凭证来签署，因此他们立即通知华硕，并提供相关证据。

近期华硕大动作进行多项产品的程式码签章凭证升级

在华硕更新服务器被骇事件传出后，后续事件处理也是各界关心的焦点。

在消息曝光后，华硕已在一日内对媒体发表正式声明，指出有部分机台搭载的Live Update版本遭骇客植入恶意程式码，企图对少数特定对象发动攻击，他们强调，已对Live Update软件升级了全新的多重验证机制，同时提供ASDT检查工具，并在当日晚间于官网发布相关公告，期望让用户能安心使用。

后续，华硕则在官网的FAQ页面增加相关说明，请用户更新Live Update到V3.6.8以后的版本，来解决安全问题，这也终于让用户可以有更清楚的答案。

只是，对于这次事件的影响范围，该公司只有针对供应链攻击的面向回应，表示受影响的数量为数百台，但未公布从华硕更新服务器下载木马化Live Update的用户数量。

事隔半月后，华硕则是进一步解决程式码签章凭证所引发的问题，他们在4月13日发出相关公告，并说明影响的产品包含旗下主板、显卡、迷你电脑、工作站、服务器等。