Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Asus Live Update-software bevatte backdoor voor gerichte aanvallen

De Asus Live Update-software, die geïnstalleerd staat op laptops en pc's van de Taiwanese fabrikant, bevatte tussen juni en november 2018 een backdoor. Kwaadwillenden konden daardoor malware installeren. Zij richtten zich op specifieke mac-adressen.

Kaspersky ontdekte de aanwezigheid van de backdoor in januari en heeft Asus eind die maand ingelicht. Volgens de beveiligingsonderzoekers was de updatesoftware tussen juni en november 2018 besmet met de backdoor.

Kaspersky noemt de aanval ShadowHammer en heeft voor gebruikers een tool online gezet waarmee ze kunnen controleren of hun Asus-laptop de backdoor bevat. Ook heeft het bedrijf een pagina gemaakt waarop gebruikers kunnen controleren of hun mac-adres op de lijst van doelwitten staat. Het beveiligingsbedrijf heeft nog niet alle technische details bekendgemaakt; dat zal begin april gebeuren tijdens de Security Analyst Summit in Singapore.

Met de backdoor in de Asus Live Update-software kunnen kwaadwillenden malware installeren op alle computers waar de besmette software op staat. De backdoor was moeilijk te ontdekken omdat de besmette updates ondertekend waren met officiële certificaten van Asus en de geïnfecteerde software stond op officiële updateservers van de fabrikant. Ook werd de backdoor niet op grote schaal gebruikt om malware te installeren; daardoor bleef hij lang onopgemerkt.

Volgens Kaspersky werd de backdoor in de Asus-software gebruikt voor gerichte aanvallen op specifieke mac-adressen. Kaspersky zegt zeshonderd adressen in de besmette software gevonden te hebben die doelwit waren, maar dat zouden er meer kunnen zijn. De beveiligingsonderzoekers spreken over 'chirurgische precisie' en schrijven de backdoor daarom toe aan een zogenaamde APT-groep. Dat is een groep of organisatie die over zeer geavanceerde middelen beschikt. Dat kan bijvoorbeeld een overheidsorganisatie zijn. Kaspersky zegt aanwijzingen te zien die de aanval linken aan het ShadowPad-incident waarbij een backdoor aan CCleaner werd toegevoegd in 2017.

Volgens statistieken hebben meer dan 57.000 Kaspersky-gebruikers de Asus-tool met backdoor geïnstalleerd. Waarschijnlijk gaat het om veel meer gebruikers, omdat Kaspersky alleen van gebruikers die Kaspersky-software draaien, kan weten of zij de desbetreffende Asus-software hebben. Kaspersky schat dat het in totaal om meer dan een miljoen gebruikers gaat.

De Asus Live Update-tool staat standaard geïnstalleerd op laptops en pc's van de fabrikant. De software wordt gebruikt om driver-, bios- en uefi-updates te downloaden en om updates voor meegeleverde software te installeren.

Asus heeft nog niet gereageerd op de aanwezigheid van de backdoor. Ook heeft het bedrijf klanten nog niet ingelicht. Een beveiligingsonderzoeker van Kaspersky zegt in een interview met Motherboard dat er wel contact is geweest tussen de bedrijven, inclusief een ontmoeting halverwege februari, maar hij zegt dat Asus verder 'grotendeels niet reageert'.

Nieuwe laptops van Asus, waar de software ook op staat, hebben de betreffende backdoor niet. Dat heeft Tweakers kunnen verifiëren met het testexemplaar van de Asus ZenBook 13.

Door Julian Huijbregts

Nieuwsredacteur

25-03-2019 • 15:21

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Nog wat meer achtergrond informatie in het artikel op Motherboard - Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers.

Bijzonder in deze is toch wel dit stukje:
The attackers used two different ASUS digital certificates to sign their malware. The first expired in mid-2018, so the attackers then switched to a second legitimate ASUS certificate to sign their malware after this.

Kamluk said ASUS continued to use one of the compromised certificates to sign its own files for at least a month after Kaspersky notified the company of the problem, though it has since stopped. But Kamluk said ASUS has still not invalidated the two compromised certificates, which means the attackers or anyone else with access to the un-expired certificate could still sign malicious files with it, and machines would view those files as legitimate ASUS files.
Dan is het toch heel makkelijk? Gewoon naar Microsoft gaan, zeggen dat de certificaten zijn gelekt en tada, software kan niet meer opgestart worden doordat deze lijst via Microsoft Update binnenkomt.
De lijst die Microsoft bijhoudt gaat toch alleen om CA certificaten? Niet om individuele certificaten? Daar is OCSP en CRL voor bedacht.
En is de tool, genoemd in dit artikel, "een tool online gezet waarmee" wel save ??
Wordt van een website kas.pr gehaald.
Ik heb een asus, maar om nu zomaar een tool te gaan draaien, vanaf een niet bekende website 8)7
Daar zat ik ook mee. Het lijkt me dat veiligheidsbewuste mensen niet zomaar een programmaatje van een vaag adres als "kas.pr" zouden moeten downloaden.
Je kunt het ook vinden via de website van kaspersky.com:
https://shadowhammer.kaspersky.com/
Er staat ergens: "Download an archive with the tool (.exe)"
Die check op MAC adressen is leuk, maar zegt niets over of de malware daadwerkelijk op je systeem geïnstalleerd is (geweest). Heeft iemand ergens gelezen hoe je dit controleert en/of verwijdert? Zou Live Update verwijderen genoeg moeten zijn, of heeft de malware zichzelf elders verstopt? Lijkt me toch ook een interessante vraag...
Als Live-Update gecompromiteerd is door vanaf de officiële download-servers van Live-Update - dus vanuit ASUS eigen serverpark! - een officieel door ASUS ondertekende malware payload te laten downloaden

...

Wat is er dan verder nog aan de kant van ASUS geinfecteerd of gecompromiteerd geweest?

Aanvallers moeten toch wel heel diep in het systeem hebben gezeten om dit voor elkaar te krijgen, zou je denken. Kans is zeker aanwezig dat ze dus ook op andere plekken zitten of hebben gezeten.

[Reactie gewijzigd door R4gnax op 25 maart 2019 20:05]

Pf, leuk joh, van die meuk die fabrikanten alvast even voor je installeren...

Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
En dat gaat je vaak niet helpen.

Sinds Windows 8 kijkt Microsoft bij de installatie van Windows naar een speciale ACPI table in het UEFI wat ze de Windows Binary Partition Table (WBPT) noemen. De Windows installer zal executables die in deze table staan altijd (ongevraagd en zonder verdere melding aan de gebruiker) oppikken en opnemen in het (her)installatie- en/of boot-proces.

Deze table is eigenlijk bedoeld voor kritieke features, zoals bijv. speciale device drivers om basale invoer/uitvoer via een geintegreerd toetsenbord of trackpad te laten werken zoals het hoort; of anti-diefstal software.

Van sommige vendors is bekend dat zij de WBPT ook misbruiken of hebben misbruikt om hun eigen crapware vanaf te bootstrappen. Lenovo is daar schoolvoorbeeld van.

Zij hebben een eigen crapware delivery tool gehad die vanuit de WBPT ongevraagd geinstalleerd wordt en keer-op-keer bij opstarten aan de gebruiker een prompt toont die hen verzoekt de rest van de troep te installeren. Deze executable kon je niet weg krijgen. De dropper (laten we het in malware termen houden, want feitelijk vertoont het er alle kenmerken van) zal elke keer dat de laptop opstart opnieuw vanuit de WBPT gedraaid worden; en een paar checks doen om te zien of het zootje geinstalleerd staat en intact is. Zo niet; gaat het er opnieuw overheen gezet worden. (Dus de rechten aanpassen, of vervangen door een dummy executable helpt ook niet.)

Het is heel hardnekkig bezitterig gedrag van de laptop vendors en WBPT en UEFI hebben het een stuk makkelijker en veiliger gemaakt, waardoor het vaker ingezet wordt dan voorheen.

Want ja: een aantal van hen, waaronder opnieuw Lenovo, wist voorheen hetzelfde trucje al te doen door direct vanuit BIOS de Windows bootloader aan te passen en een executable die kritiek is voor het boot-proces te vervangen door een ander exemplaar met dezelfde soort dropper code er in. (Ja, echt.)

[Reactie gewijzigd door R4gnax op 25 maart 2019 20:01]

Nice! Goede info.

Net wat gezocht en kennelijk kun je dit herkennen aan het wpbbin.exe bestand in je system32 folder. Als dat bestand er staat dan word er vanuit WBPT iets naar Windows gestuurd. Red Flag dus.
Nice! Goede info.

Net wat gezocht en kennelijk kun je dit herkennen aan het wpbbin.exe bestand in je system32 folder. Als dat bestand er staat dan word er vanuit WBPT iets naar Windows gestuurd. Red Flag dus.
Let daarbij wel even op: software die zijn sporen niet wil nalaten zal netjes achter zichzelf opruimen en dat bestand weghalen.
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
heb div. asus hardware / mobo etc. maar die live updater heeft in de afgelopen 10jr hier nog nooit gewerkt; want die live update krijgt een update, en die kan ie niet installeren; laatste versie is niet te downloaden (enkel via update). achjah :+
heb ik ook vaak gehad, dan heb je een update voor de geluidskaart {van realtek zelf} maar deze is dan nog niet asus customized, zodat je deze niet krijgt via asus live update.

heb het er ook af gegooid na een clean install van m'n laptop (alleen gebruikt om de waves maxx audio tool te krijgen,)
Software die je bios kan updaten vanaf je OS..
Nooit voorstander van geweest eigenlijk.
Software die je bios kan updaten vanaf je OS..
Nooit voorstander van geweest eigenlijk.
Vroeger, met BIOS, had je daarvoor nog speciale vendor-specifieke software voor nodig. Tegenwoordig is het zo dat praktisch elke gecerficeerde UEFI direct vanuit Windows of andere OSen te updaten is; want het gaat via een gestandaardiseerde feature van UEFI. Enige wat er nog nodig is? Admin-rechten.

(Doe mij maar een moederbord wat die overschrijfbaarheid op het fysieke niveau met een jumper af-blokt, graag...)
Is dit ook indien CSM gebruikt wordt?
Aangezien het operating system in CSM mode een BIOS systeem zou moeten zien, en niet een UEFI systeem, zou ik denken van niet. Maar zeker weten? Nee. Sorry.
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
Waarom, het enigste wat je hoef te updaten is je Grafische kaart drivers, voor de rest is het niet nodig, alleen als je problemen heb.
Ook die hoef je niet te updaten altijd, alleen als je games speelt op de pc is het handig.
Precies, en andere grafische dingen doe er op.
Vaak heb je toch niks aan de nieuwe functionaliteiten. If it aint broke(or leaky) don't try to fix it.
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
Ik was het al aan het typen:)
Wel mee eens.. 99% :)

Maar in geval van bios fixes die veiligheidsproblemen verhelpen zou je niet weten dat die er is tenzij je er op let. Tweakers zien dat misschien maar aan de wat minder onderlegde gebruikers zal het voorbij gaan.
Had gisteren nog een nieuwe GPU driver update die niet werkte. In Windows 10 is het gelukkig tegenwoordig heel makkelijk om een update terug te draaien.
Zeer verstandig, die software die fabrikanten op je laptop zetten is vaak onnodig en neemt na een aantal updates veel ruimte in beslag, precies zoals je bij smartphones ziet.
Vanavond maar meteen die tool eens draaien.
Ik geloof dat mevrouw Melkunie een laptop heeft die hier wel eens onder zou kunnen vallen (pricewatch: Asus FX503VM-E4178T)
Idem dito voor de laptop van mijn ouders, ASUS K73TK-TY005 uit 2012, normaal gezien heb ik deze tool eraf gegooid maar toch maar checken morgen (deze stond wel voorgeinstalleerd afaik).

Benieuwd hoe deze aanval heeft kunnen plaatsvinden.
Omdat dit op specifieke apparaten gericht is lijkt de kans dat mevrouw Melkunie hier door getroffen is erg klein. Dit is een aanval op een instantie, bedrijf or land.
Superfijn dat het zich richt op specifieke apparaten, de backdoor is wel op alle apparaten aanwezig. Ook al doet het verder niets is dat in mijn boekje toch ook 'getroffen'.
Lijkt me een typisch geval van een fabrikant die (nog steeds!) geen draaiboek heeft voor beveiligingsissues die gemeld worden. Waar dit bij veel grote bedrijven de laatste jaren steeds beter en vlotter opgepakt wordt, zijn er ook nog een aantal die maar moeilijk bereikbaar zijn en niet echt actie ondernemen. Asus is daar kennelijk een schoolvoorbeeld van... :/
Of een bedrijf wat denkt met een beetje struisvogelpolitiek eea wel rustig over waait. 😉
Maar goed dat ik het gelijk eraf heb gegooid. Net voor de zekerheid nog mijn MAC-adressen gecheckt, gelukkig kwam alles clean door de test.
Heb je dan het vermoeden dat een APT-groep achter je aan zit? Zo ja dan kun je dit beter snel melden bij de veiligheidsdiensten ;)

[Reactie gewijzigd door PhoenixT op 25 maart 2019 15:50]

Nee, maar het geeft toch wel weer een fijn gevoel dat ik zeker weet dat er niks aan de hand is
Hmm Zit dat Live update gebeuren ook niet ingebouwd in utilities zoals gputweak II?
Al een paar jaar een ASUS Zenbook, maar werkelijk nog nooit een Live Update gehad, moest zelfs extra moeite doen om de Intel drivers (via Intel) te updaten. Dus het verbaast me dat deze functionaliteit toch werkte.
Dit soort "supply chain" aanvallen zie je steeds meer. Nu de belangrijkste doelen in de IT van beveiliging zijn voorzien worden er minder directe routes genomen. De meeste organisaties hebben naast hun 'kern' van harde IT nog een hele wolk aan partners en medewerkers die min of meer vertrouwd worden, vaak vanuit de gedachte dat die toch niet bij de kroonjuwelen kunnen. "Wat gaan ze doen? De airco harder zetten?" hoor je dan.
Het is ook niet meer dan menselijk om elkaar te helpen, dus wordt voor die arme monteur een uitzondering gemaakt omdat je niet van iedereen kan verwachten dat ze IT-beveiliging snappen... en meestal gaat dat goed, zoals met alle slechte plannen in deze wereld. Als IT-afdeling kun je wel op je strepen gaan staan, maar als de directeur het te warm heeft dan wordt er toch vaak even een uitzondering gemaakt "zodat iedereen verder kan".

Allemaal hele menselijk, maar grote/belangrijke organisaties zullen er steeds meer rekening mee moeten houden. En laten we wel wezen, wat je verder ook over Asus denkt, het blijft een IT-bedrijf. Dit soort zaken staan daar nog een beetje op het netvlies. Als het daar fout gaat, dan zijn een hoop andere organisaties eigenlijk kansloos.

[Reactie gewijzigd door CAPSLOCK2000 op 25 maart 2019 15:39]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True