IT之家9月18日消息 近日,思科Talos安全研究团队表示,黑客已经入侵英国Piriform公司,将远程管理工具植入到旗下知名清理软件CCleaner中。受到感染的版本为2017年8月15日发布的CCleaner v5.33.6162和CCleaner Cloud v1.07.3191。用户安装了受感染的软件之后,会在后台偷偷连接未授权网页,下载其他软件。
据悉,CCleaner每周下载次数超过了500万次。有安全机构表示,估计有200万用户已经安装受感染的软件。 此外,根据路透社报道,这种恶意程序的传播方式类似于在6月份出现的NotPetya,通过使用CCleaner的数字签名,让计算机自动信任任何安装程序。 目前,新版本的CCleaner和CCleaner Cloud已经上架,建议用户升级到最新版使用。
0x00 事件描述 2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。[参考1] 360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。 据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。 0x01 事件影响面 影响面 CCleaner 产品的使用者很广泛,影响面大。 目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。 影响版本 CCleaner version 5.33.6162 CCleaner Cloud version 1.07.3191 DNS请求态势
注:该图来自360网络安全研究院 0x02 部分技术信息 注:部分信息来自[参考1]和[参考2] 据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。 恶意代码通过TLS(线程局部存储/Thread Local Storage)回调处理的方式触发执行,TLS是一种Windows NT支持的特殊的存储类别,主要为了支持程序的构造。 存在于TLS回调中的恶意代码会先于main函数执行以下操作: 使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小) 解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB) 随后DLL文件被加载和执行一个独立线程,并长期在后台运行 随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。 具体主要执行以下操作: 试图存储相关信息到Windows注册表中 HKLM\SOFTWARE\Piriform\Agomo: MUID: 随机字符串,不确定是否用于通信; TCID: 定时器执行周期; NID: 控制服务器地址 试图收集以下的本地信息: 主机名 已安装软件列表,包括Windows更新 进程列表 前3个网卡的MAC地址 检测进程权限是否管理员权限,是否64位等 以上信息均已base64的方式进行编码。 编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148,通信上采用HTTPS POST和伪造HOST:speccy.的方式进行传输。 接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。 为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。 DGA生成算法 获取本地信息 字符串混淆 API间接调用 搜集非微软的安装程序 枚举系统活动进程 DGA域名列表 相关 DGA生成算法
获取本地信息
字符串混淆
API间接调用
搜集非微软的安装程序
枚举系统活动进程
Indicators of Compromise (IOCs)
文件哈希 6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 -IP地址 216[.]126[.]225[.]148 0x03 安全建议 1、建议用户尽快下载最新版本进行更新 下载链接:https://www./ccleaner/download/standard 2、 目前 360安全卫士 已经更新并能拦截受影响的文件。如您不确定是否受影响,您可以下载360安全卫士进行安全评估。 0x04 时间线 2017-09-18 事件披露 2017-09-18 360CERT发布预警通告 0x05 参考链接 1、Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users http://www./news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users |
|