华硕软件更新服务器遭黑客劫持，自动更新向用户下发恶意程序

一、事件概述
    卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕（ASUS）的软件更新服务器曾在去年遭到黑客入侵，并以更新的名义在用户的电脑上植入一个恶意程序；研究人员估计，全球约有百万台Windows电脑通过华硕的更新服务器被安装了恶意程序，但华硕方表示，攻击者只针对其中数百台设备进行攻击，该公司已帮助客户解决了问题，并进行了漏洞修补和服务器更新。
    某公司安全团队捕获到了此次攻击事件中的相关样本，对样本进行了详细的分析，此次攻击事件虽然因为自动更新策略影响了大量用户，但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备，攻击流程如下：

二、恶意程序分析
1.该恶意程序盗用了华硕(ASUS)的合法数字证书，从证书的签署时间来看，攻击者是在2018年下半年进行了此次攻击活动：

2.恶意程序中包含了一段加密的shellcode，通过将该段数据加载到内存中，解密后执行：

解密部分如图：

3.shellcode执行的功能是通过函数GetAdaptersAddresses获取设备的MAC地址，然后计算其MD5：

4.将计算得到的MD5与程序中硬编码的MD5值进行匹配，如果匹配成功则连接攻击者的服务器下载恶意代码，执行第二阶段的攻击活动：

5.如果MD5没有与硬编码的值匹配成功，则在C:\Users目录下释放idx.ini文件，随后退出程序：

三、解决方案
    华硕官方回应中给出了检测设备是否受到此次攻击影响和ASUS Live Update的更新，详见：
官方回应链接：
https://www.asus.com/News/hqfgVUyZ6uyAyJe1

诊断工具链接：
https：//dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

ASUS Live Update更新说明：
https://www.asus.com/support/FAQ/1018727/


四、IOC
URL：
https://asushotfix[.]com/logo[.]jpg
https://asushotfix[.]com/logo2[.]jpg

MD5：
55A7AA5F0E52BA4D78C145811C830107