在3月26日国外媒体Motherboard揭露一起由资安公司卡巴斯基(Kaspersky)资安威胁实验室发现的一起ShadowHammer攻击事件(暗影之锤),在去年6月~11月,计算机制造业者华硕计算机遭到黑客集团入侵该公司的软件更新Live Upadte服务器,该公司在声明稿中指出,只有600台电脑遭到锁定攻击,并且释出消费者可以自行检视是否遭到锁定攻击的ASDT检视工具。只不过,国外资安研究人员GiuGiuseppe `N3mes1s`在推特上公布,华硕释出的检测工具,遭到微软内建防护工具Windows Defender误判为恶意软件。在此同时,首先揭露这起攻击事件的卡巴斯基也提供检测网址,用户如果怀疑自己的计算机是这起ShadowHammer暗影之锤攻击行动锁定的对象,可以到下列网址:https://shadowhammer.kaspersky.com/ 输入自己计算机的Mac Address检查,卡巴斯基也强调,将不会储存任何用户输入的信息。
不具名资安研究专家指出,一般而言,所有的防毒公司都会把用来进行软件发行签章的数字证书当做白名单的依据,但是,华硕遭到黑客入侵冒用的数字签名并未注销(revoke),也导致许多资安公司可能会误判华硕释出的侦测工具。据了解,许多资安防病毒软件业者,已经先无视华硕遭到冒用的数字签名,这也变成华硕释出的更新软件不在「白名单」中。这也符合卡巴斯基资安威胁研究实验室总监 Costin Raiu在推特上的声明,华硕并没有注销原本的数字签名,他将原本的恶意软件上传VirusTotal进行侦测,总共68个防病毒软件中,只有27个防毒业者可以侦测到ShadowHammer暗影之锤的恶意软件,主要的原因在于,有许多防毒业者在侦测到签章的数字证书是真的时候,就会略过,不进行扫描了。目前,华硕计算机还不注销遭到黑客冒用的数字证书,这也成为一个很重要的风险警讯。更多相关信息:http://www.cafes.org.tw/info.asp
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
