華碩釋ShadowHammer惡意程序偵測工具卻被微軟誤判

在3月26日國外媒體Motherboard揭露一塊兒由資安公司卡巴斯基（Kaspersky）資安威脅實驗室發現的一塊兒ShadowHammer攻擊事件（暗影之錘），在去年6月～11月，計算機制造業者華碩計算機遭到黑客集團入侵該公司的軟件更新Live Upadte服務器，該公司在聲明稿中指出，只有600臺電腦遭到鎖定攻擊，而且釋出消費者能夠自行檢視是否遭到鎖定攻擊的ASDT檢視工具。只不過，國外資安研究人員GiuGiuseppe `N3mes1s`在推特上公佈，華碩釋出的檢測工具，遭到微軟內建防禦工具Windows Defender誤判爲惡意軟件。在此同時，首先揭露這起攻擊事件的卡巴斯基也提供檢測網址，用戶若是懷疑本身的計算機是這起ShadowHammer暗影之錘攻擊行動鎖定的對象，能夠到下列網址：https://shadowhammer.kaspersky.com/ 輸入本身計算機的Mac Address檢查，卡巴斯基也強調，將不會儲存任何用戶輸入的信息。

不具名資安研究專家指出，通常而言，全部的防毒公司都會把用來進行軟件發行簽章的數字證書當作白名單的依據，可是，華碩遭到黑客入侵冒用的數字簽名並未註銷（revoke），也致使許多資安公司可能會誤判華碩釋出的偵測工具。據瞭解，許多資安防病毒軟件業者，已經先無視華碩遭到冒用的數字簽名，這也變成華碩釋出的更新軟件不在「白名單」中。這也符合卡巴斯基資安威脅研究實驗室總監 Costin Raiu在推特上的聲明，華碩並無註銷本來的數字簽名，他將本來的惡意軟件上傳VirusTotal進行偵測，總共68個防病毒軟件中，只有27個防毒業者能夠偵測到ShadowHammer暗影之錘的惡意軟件，主要的緣由在於，有許多防毒業者在偵測到簽章的數字證書是真的時候，就會略過，不進行掃描了。目前，華碩計算機還不註銷遭到黑客冒用的數字證書，這也成爲一個很重要的風險警訊。更多相關信息：http://www.cafes.org.tw/info.asp