MAC-Adressliste der ShadowHammer-Angriffe auf ASUS veröffentlicht
Zusätzlich zu Kasperky Labs Online-Service steht Unternehmen jetzt eine (fast) vollständige Liste für den schnelleren MAC-Adressabgleich zur Verfügung.
(Bild: Comfreak)
Im Zuge seiner Analysen des Supply-Chain-Angriffs auf den Hardware-Hersteller ASUS hat Kaspersky Lab bereits vergangene Woche einen Online-Service zum Überprüfen von MAC-Adressen veröffentlicht. Unternehmen, die testen wollen, ob Geräte in ihrem Netzwerk zu den Zielen von "Operation ShadowHammer" zählten, können dies nun alternativ auch anhand einer nahezu vollständigen Adressliste tun.
Adressliste als Textdatei
Kaspersky Lab hatte herausgefunden, dass der von Unbekannten über gehackte ASUS-Server verübte Angriff lediglich rund 600 Systeme zum Ziel hatte. Deren MAC-Adressen entdeckte der Antiviren-Softwarehersteller in Form von MD5-Hashes im Schadcode, stellte sie wieder her und ermöglichte Nutzern den Abgleich mittels manueller Eingabe auf einer eigens dafür eingerichteten Webseite. Zusätzlich veröffentlichte Kaspersky (wie übrigens später auch ASUS) ein Diagnose-Tool zum Download.
Aus diesem Tool hat die IT-Sicherheitsfirma Skylight Cyber nun mittels Reverse Engineering eine (mit derzeit 589 Einträgen nahezu vollständige) Liste der MAC-Adressen extrahiert. Interessierte können Einzelheiten zu Skylight Cybers Vorgehensweise in einem Blogeintrag nachlesen. Dort sind auch zwei Versionen der Liste im Textformat verlinkt. Unternehmen dürfte sie als bequeme Möglichkeit des automatisierten Abgleichs im Gegensatz zur manuellen Eingabe einzelner Adressen willkommen sein.
"Extended Version" mit interessantem Detail
(Bild: Didier Stevens / Twitter )
Die zweite, erweiterte Version von Skylight Cybers Liste Liste besteht aus zwei Teilen. Auf Einträge einzelner MAC-Adressen folgen im zweiten Abschnitt Einträge, die je zwei Adressen pro Zeile umfassen. Darüber steht der Kommentar "Second list, ShadowHammer will only target machines if both MAC addresses on the same line are found".
Was genau es mit der Unterscheidung auf sich hat, ist bislang unklar. Der Sicherheitsforscher Didier Stevens ließ in mehreren Tweets verlauten, dass der zweite Teil der Adressliste einige typische VMWare-MAC-Adressen enthalte. Ein anderer Twitter-Nutzer Leser mutmaßte daraufhin, dass dies statt auf ein Angriffskriterium auf einen Anti-Analyse-Mechanismus zum Aufspüren von Sandbox-Umgebungen hindeuten könnte.
Mehr zum Thema ShadowHammer:
- ShadowHammer: ASUS verteilte offenbar Schadcode an über 1 Million Nutzer
- ASUS veröffentlicht neue Live-Update-Version nach ShadowHammer-Kompromittierung
- Leichtsinnige ASUS-Mitarbeiter könnten ShadowHammer-Angriff begünstigt haben
(ovw)
