Ken641228的部落格

安全公司Eset周一表示，BigNox軟件分發系統遭到黑客攻擊，並被用來向部分用戶提供惡意更新。最初的更新是在去年9月通過操縱兩個文件交付的：主BigNox二進制文件Nox.exe和下載更新本身的NoxPack.exe。

Eset惡意軟件研究員Ignacio Sanmillan表示："我們有足夠的證據說明BigNox基礎設施(res06.bignox.com)被入侵以托管惡意軟件，同時也表明他們的HTTP API基礎設施(api.bignox.com)可能已經被入侵，在某些情況下，BigNox更新器從攻擊者控制的服務器下載瞭額外的有效載荷。這表明，BigNox API回復中提供的URL字段被攻擊者篡改瞭。"

簡而言之，攻擊是這樣的：在啟動時，Nox.exe會向一個編程接口發送請求，查詢更新信息。BigNox API服務器會響應更新信息，其中包括合法更新的URL。Eset推測，合法的更新可能已經被惡意軟件取代，或者，引入瞭新的文件名或URL。

然後，惡意軟件被安裝在目標機器上。惡意文件沒有像合法更新那樣進行數字簽名。這說明BigNox軟件構建系統並沒有被入侵，隻有提供更新的系統被入侵。惡意軟件會對目標計算機進行有限的偵察。攻擊者會進一步將惡意更新定制到特定的感興趣的目標上。

BigNox API服務器向特定目標響應更新信息，這些信息指向攻擊者控制的服務器上的惡意更新位置。觀察到的入侵流程如下圖所示。合法的BigNox基礎設施正在為特定的更新提供惡意軟件。我們觀察到，這些惡意更新隻在2020年9月進行。Sanmillan表示，在安裝瞭NoxPlayer的10萬多名Eset用戶中，隻有5人收到瞭惡意更新。這些數字凸顯瞭攻擊的針對性。目標位於臺灣、香港和斯裡蘭卡。