華碩網絡硬盤服務出問題！遭到中間人攻擊

安全廠商ESET發現，攻擊者透過家用路由器以及中間人攻擊（man-in-the middle，MitM）手法，對華碩網絡硬盤服務WebStorage軟件感染惡意軟件。ESET安全研究人員Anton Cherepanov在今年4月，發現這波以Plead後門程序爲感染源的攻擊行動。這並非Plead第一次被發現對臺灣公司下手。去年7月Cherepanov也發現黑客組織BlackTech竊取友訊（D-Link）及全景軟件的數字證書以簽發散佈Plead。

Plead爲趨勢科技於2014年首先揭露，專門針對臺灣政府部門及中高階主管下手，主要目的在竊取機密信息。BlackTech也會利用漏洞的路由器爲跳板來散發Plead。雖然Plead主要以亞洲爲間諜活動範圍，但以臺灣爲最活躍地區。根據ESET研究人員的分析，華碩的WebStorage服務攻擊牽涉其客戶端軟件（也名爲ASUS WebStorage）。研究人員發現，Plead是由AsusWSpanel.exe產生並執行，而原理可能如同友訊案例同樣，是華碩雲端（ASUS Cloud Corporation）的憑證遭竊，而簽發了冒名爲Asus Webstorage Upate.exe的Plead可執行文件。

研究人員在過去研究中發現，大多數受影響的企業或部門都是使用同一家公司的路由器，且其管理接口均可由因特網存取，所以判斷黑客在此次事件也可能經由路由器層，利用華碩的路由器將PLEAD散佈到同網絡的計算機上。至於這個過程爲什麼會啓動，關鍵即在中間人攻擊。ASUS WebStorage客戶端軟件和服務器間的下載更新檔過程，是經由HTTP創建呼叫聯機及傳送檔案，這個軟件在執行前不會驗證下載文件的真實性。所以只要聯機被攻擊者攔截，就能引導它下載惡意檔案。相關內文來源：sbf勝博發票務 http://www.www.ktnetks.com.tw

研究人員發現，攻擊者修改了聯機的二個指令元素，引導ASUS WebStorage連向臺灣政府一個被入侵的gov.tw網域，下載惡意檔案，而非華碩服務器提供的真實更新檔。ASUS WebStorage在客戶端部署Plead後，這個後門程序就扮演第一階段的下載程序（downloader）。以後從外部服務器多階段下載文件，包括一個Windows PE binary檔及DLL檔，後者目的在和C&C服務器創建聯機，執行竊密及安裝TSCookie程序的任務。對華碩來講可謂禍不單行。三月底華碩更新服務傳出遭名爲ShadowHammer 行動的供應鏈攻擊，其更新服務器被惡意軟件入侵用來散佈後門程序，時間可能長達5個月，受害計算機數量恐高達百萬。ESET研究人員指出，近來的供應鏈和中間人攻擊顯示黑客手法更轉趨狡猾，並且能形成更大規模的受害範圍。這也說明了軟件廠商不但要防範其開發環境被入侵，還要使用更安全的產品更新機制，以防止中間人攻擊。