InfoGuard Cyber Security & Cyber Defence Blog

Shadow Hammer MAC-Adressen Hash-Liste

Geschrieben von Mathias Fuchs | 27. Mär 2019

Wie vorgestern bekannt wurde, verbreitete ein ASUS Update Server zusammen mit legitimen Update Code auch sehr zielgerichtete Malware, die nur Rechner mit gewissen MAC-Adressen (Hardware-Adressen) befällt. Die Malware generiert dabei eine MD5-Prüfsumme aller Netzwerkinterface-Adressen und vergleicht diese mit einer in der Malware gespeicherten Liste. Unsere InfoGuard-Analysten haben ein zur Verfügung stehendes Exemplar dieser Malware analysiert und waren in der Lage, die im Beispiel vorhandenen Vergleichssummen zu extrahieren.

Es ist durchaus möglich, dass weitere Versionen dieser Malware mit einem anderen Satz an Prüfsummen verbreitet wurden. 

Die Sha-256 Summe des analysierten Samples ist:
9a72f971944fcb7a143017bc5c6c2db913bbb59f923110198ebd5a78809ea5fc.

Da dieser Angriff auf eine sehr geringe Anzahl an Geräten fokussiert ist, liegt es nahe, dass es sich hier um einen Angriff bekannter APT-Gruppen handelt. Sollten Sie befürchten, im Fadenkreuz dieser Organisationen zu stehen und ASUS-Computer betreiben, so können sie einfach die MD5-Summe ihrer MAC-Adresse bilden und mit der in Folge genannten Liste vergleichen. Bitte behalten Sie im Hinterkopf, dass diese Liste nur die InfoGuard zur Verfügung stehende Malware repräsentiert. Es ist nicht bekannt, ob zum Beispiel nach geographischen Merkmalen unterschiedliche Dateien verteilt wurden.


00B006C7DAB6ACE6C25C3799EB2B6E14
5977BAA3F8CE0CA1C96D6AC9A40C9A91
409D8EEBCE8546E56A0AD740667AADBD
7DA42DD34574D4E1A7EA0E708E7BC9A6
ADE62A257ADF118418C5B2913267543E
4268AED64AA5FFF2020D2447790D7D32
7B14C53FD3604CC1EBCA5AF4415AFED5
3A8EA62E32B4ECBE33DF500A28EBC873
CC16956C9506CD2BB389A7D7DA2433BD
FE4CCC64159253A6019304F17102886D
F241C3073A5777742C341472E2D43EEC
4EC2564ACE982DC58C1039BF6D6EA83C
AB0CEF9E5957129E23FBA178120FA20B
F758024E734077C70532E90251C5DF02
F35A60617AB336DE4DAAC799676D07B6
6A62EAD801802A5C9EC828D0C1EDBB5B
600C7B52E7F80832E3CEE84FCEC88B9D
6E75B2D7470E9864D19E48CB360CAF64
FB559BCD103EE0FCB0CF4161B0FAFB19
690AD61EC7859A0964216B66B5D33B1A
09DA9DF3A050AFAD0DF0EF963B41B6E2
FAE3B06AB27F2B0F7C29BF7F2B03F83F
D4B958671F47BF5DCD08705D80DE9A53

...und jetzt? Das müssen Sie tun!

Wenn Sie befürchten, effektiv betroffen zu sein, dann handeln Sie schleunigst! Und wenn Ihr Unternehmen einen verlässlichen Partner braucht, dann melden Sie sich bei uns: Unsere InfoGuard-Analysten helfen Ihnen 24x7.