首页 资讯 警法 党建 滚动 关注 科技 综合 车房 生活 手机版
互联网 互联网 电商 数码 手机

知名清理软件CCleaner被感染:官网下载也得当心

http://www.zhibotv.com.cn      2017-09-24 17:42:25     来源:中国直播网

IT之家9月18日消息 近日,思科Talos安全研究团队表示,黑客已经入侵英国Piriform公司,将远程管理工具植入到旗下知名清理软件CCleaner中。受到感染的版本为2017年8月15日发布的CCleaner v5.33.6162和CCleaner Cloud v1.07.3191。用户安装了受感染的软件之后,会在后台偷偷连接未授权网页,下载其他软件。

据悉,CCleaner每周下载次数超过了500万次。有安全机构表示,估计有200万用户已经安装受感染的软件。

此外,根据路透社报道,这种恶意程序的传播方式类似于在6月份出现的NotPetya,通过使用CCleaner的数字签名,让计算机自动信任任何安装程序。

目前,新版本的CCleaner和CCleaner Cloud已经上架,建议用户升级到最新版使用。

0x00 事件描述

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。[参考1]

360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。

据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。

0x01 事件影响面

影响面

CCleaner 产品的使用者很广泛,影响面大。

目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。

影响版本

CCleaner version 5.33.6162

CCleaner Cloud version 1.07.3191

DNS请求态势

注:该图来自360网络安全研究院

0x02 部分技术信息

注:部分信息来自[参考1]和[参考2]

据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。

恶意代码通过TLS(线程局部存储/Thread Local Storage)回调处理的方式触发执行,TLS是一种Windows NT支持的特殊的存储类别,主要为了支持程序的构造。

存在于TLS回调中的恶意代码会先于main函数执行以下操作:

使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)

解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)

随后DLL文件被加载和执行一个独立线程,并长期在后台运行

随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。

具体主要执行以下操作:

试图存储相关信息到Windows注册表中 HKLM\SOFTWARE\Piriform\Agomo:

MUID: 随机字符串,不确定是否用于通信;

TCID: 定时器执行周期;

NID: 控制服务器地址

试图收集以下的本地信息:

主机名

已安装软件列表,包括Windows更新

进程列表

前3个网卡的MAC地址

检测进程权限是否管理员权限,是否64位等

以上信息均已base64的方式进行编码。

编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148,通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。

接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。

为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。

DGA生成算法

获取本地信息

字符串混淆

API间接调用

搜集非微软的安装程序

枚举系统活动进程

DGA域名列表

相关

DGA生成算法

获取本地信息

字符串混淆

API间接调用

搜集非微软的安装程序

枚举系统活动进程

Indicators of Compromise (IOCs)

文件哈希

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

-IP地址

216[.]126[.]225[.]148

0x03 安全建议

1、建议用户尽快下载最新版本进行更新

下载链接:https://www.piriform.com/ccleaner/download/standard

2、 目前 360安全卫士 已经更新并能拦截受影响的文件。如您不确定是否受影响,您可以下载360安全卫士进行安全评估。

0x04 时间线

2017-09-18 事件披露

2017-09-18 360CERT发布预警通告

0x05 参考链接

1、Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

2、Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html


CopyRight 2013-2017 中国直播网 ZhiBoTv.Com.Cn (十八腔新闻旗下重点新闻品牌) 新闻投稿:shibaqiang@qq.com All rights reserved.

ICP备案号:浙ICP备14031406号-5 | 广播电视节目制作经营许可证:浙字第01913号 | 浙公网安备 33078302100035号 | 金公网安备33070020150003号

版权所有:浙江十八腔文化传媒有限公司 | 侵权反馈:shibaqiang@foxmail.com 如有侵权请来邮说明情况提供相关资料证实,我们收到后将会尽快处理予以答复。

网站所登新闻、资讯等内容,版权归原作者或投稿人所有,转载仅限传播非本网观点,未经授权请勿转载或商业用途。