華碩釋出ShadowHammer惡意程式偵測工具,遭微軟誤判為惡意程式

在3月26日國外媒體Motherboard揭露一起由資安公司卡巴斯基(Kaspersky)資安威脅實驗室發現的一起ShadowHammer攻擊事件(暗影之鎚),在去年6月~11月,臺灣電腦製造業者華碩電腦遭到駭客集團入侵該公司的軟體更新Live Upadte伺服器,該公司在聲明稿中指出,只有600臺電腦遭到鎖定攻擊,並且釋出消費者可以自行檢視是否遭到鎖定攻擊的ASDT檢視工具。只不過,國外資安研究人員GiuGiuseppe N3mes1s推特上公布,華碩釋出的檢測工具,遭到微軟內建防護工具Windows Defender誤判為惡意程式。

在此同時,首先揭露這起攻擊事件的卡巴斯基也提供檢測網址,使用者如果懷疑自己的電腦是這起ShadowHammer暗影之鎚攻擊行動鎖定的對象,可以到下列網址:https://shadowhammer.kaspersky.com/ 輸入自己電腦的Mac Address檢查,卡巴斯基也強調,將不會儲存任何使用者輸入的資訊。

臺灣不具名資安研究專家指出,一般而言,所有的防毒公司都會把用來進行軟體發行簽章的數位憑證當做白名單的依據,但是,華碩遭到駭客入侵冒用的數位簽章並未註銷(revoke),也導致許多資安公司可能會誤判華碩釋出的偵測工具。據了解,許多資安防毒軟體業者,已經先無視華碩遭到冒用的數位簽章,這也變成華碩釋出的更新軟體不在「白名單」中。

這也符合卡巴斯基資安威脅研究實驗室總監 Costin Raiu在推特上的聲明,華碩並沒有註銷原本的數位簽章,他將原本的惡意程式上傳VirusTotal進行偵測,總共68個防毒軟體中,只有27個防毒業者可以偵測到ShadowHammer暗影之鎚的惡意程式,主要的原因在於,有許多防毒業者在偵測到簽章的數位憑證是真的時候,就會略過,不進行掃描了。目前,華碩電腦還不註銷遭到駭客冒用的數位憑證,這也成為一個很重要的風險警訊。

原文來自 iThome Online