专栏首页FreeBuf系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。

研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此在 9 月 12 日将该数据库删除。这意味着受害者信息现在已经丢失、无法追查,且感染第二阶段后门 payload 的计算机数量可能比最初预估的更大。

CCleaner 后门可以收集用户信息并将其发送给受攻击者控制的服务器,该服务器已经在 9 月 15 日关闭。整个后门事件中,在 8 月 15 日至 9 月 12 日期间下载受感染的 CCleaner 的用户共达 272 万。

CCleaner 事件简要总结

CCleaner 是一款免费的系统优化和隐私保护工具。主要用来清除 Windows 系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。7 月初,CCleaner 就遭到了攻击,那时候 Avast 还没有收购 CCleaner 的制造商 Piriform。当时,黑客设法入侵了公司的系统,并修改了 32 位 CCleaner 5.33.6162 版本和 CCleaner Cloud v1.07.3191 版本,分别植入了后门。这个后门的完整感染过程分为三个阶段:

第一阶段的恶意 payload 仅在 32 位平台上执行,收集受感染 PC 的数据,并将收集到的详细信息发送到远程C&C服务器。服务器将把这些信息存储在一个 MariaDB(MySQL fork)中,并且会在每个受感染的主机上运行一系列过滤器,以确定是否发送第二阶段的 payload(一个非常隐蔽的后门木马)。

根据 Cisco Talos 的分析,C&C 服务器可以在大型科技公司的网络中寻找计算机并进行感染。研究人员回收的列表显示,Google,Microsoft,HTC,Samsung,Intel,Sony,VMWare,O2,Vodafone,Linksys,Epson,MSI,Akamai,DLink,Oracle(Dyn),Gauselmann 和 Singtel 等公司都是 C&C 服务的搜索目标。

第二阶段的 payload 需要连接到另一个 C&C 服务器,发送受感染机器上的信息,并从服务器检索和执行附加代码。此外,还使用 GeeSetup_x86.dll 安装程序,可以根据受感染系统的不同架构而获取不同的恶意软件。植入的恶意软件被保存到注册表中,同时可以巧妙地提取注册表、装载程序并运行。

在 x64 系统上,攻击者通过向保护代码、避免缓冲区溢出的函数 __security_init_cookie 添加几个指令,来修改 C 运行时间(CRT)。他们添加的指令可以使 _pRawDllMain 函数指针链接到提取隐藏注册表 payload loader 的特定函数上。

研究表明,第二阶段的 payload 中还包含一个死亡开关(kill switch),只会在系统感染之后触发。具体来说,在执行时,该 payload 会检查 %TEMP%\ spf 文件是否存在,如果文件存在,则终止执行。此外,第二阶段的 payload 还可以通过 GitHub 页面、WordPress 托管页面,或通过读取未命名域名的 DNS 记录来检索 C&C IP 地址。在调查期间,Avast 发现 GitHub 和 WordPress 页面已经不存在,且未命名的域名也没有注册 IP 地址。因此,这个 payload 不可能与第二个 C&C 通信,也不可能发送第三阶段的 payload。

攻击者的数据库记录了感染第一、第二阶段恶意 payload 的所有计算机信息。

第三阶段的 payload 也可能与攻击有关,但目前尚未有更详细的信息。

查获 C&C 服务器,恢复数据、日志

安全公司上周检测到被植入后门的 CCleaner 可执行文件后,立刻就联系了 Avast。 Avast 配合执法部门查获了收集用户数据的服务器(IP:216.126.225.148)。服务器查获后,Cisco Talos 和 Avast 先后发布了数据分析,发现了一些新的细节。

从服务器日志中提取出来的新信息表明,攻击者将后门植入到 CCleaner 的前几天,这个服务器就已经设置好了。不过,时刻也指出,尽管服务器已经上线了一个多月,但数据库中只包含 9 月 12 日至 9 月 16 日间活跃的感染信息,而且没有任何其他信息。

Avast 进一步表示,在对日志进行更深入的分析之后,发现服务器的磁盘内存已满,因此攻击者不得不删除之前记录的数据(当然,在删除之前,攻击者很可能已经将这些数据下载备份了)。

由于黑客删除了数据库,自 8 月 15 日到 9 月 12 日这 28 天的感染数据均已丢失。

不幸的是,这个服务器磁盘容量有限、比较低端,否则(在服务器关机前的5天),如果整个数据库从初始发布日期起就完好无损,我们就能通过分析数据而更清楚地了解到真正受到后门影响的受害者。

**

发现第二台服务器,公布受感染公司名单

经过几天的深入研究, Avast 发现了黑客使用的第二台服务器(IP:216.126.225.163)。根据第一台和第二胎服务器的内容,Avast 发现实际受第一阶段 payload 感染并反馈给 C&C 服务器的计算机数目有 1646536 台(事件发生期间,共有 227 万用户下载了有后门的 CCleaner)。其中受第二阶段 payload 感染的计算机数目则只有 40 台。

Avast 还公布了受感染的公司名单:

Chunghwa Telecom NEC Samsung ASUS Fujitsu Sony IPAddress.com O2 Gauselmann Singtel Intel VMWare

其中,受感染最严重(13 台计算机受感染)的是一家中国台湾网络服务供应商 Chunghwa Telecom,其次是日本 IT 公司 NEC (10 台计算机受感染)。三星公司排名第三,有 5 台计算机受感染。

此外,还有一部分遭到攻击但未被感染的公司:

Google Microsoft HTC Samsung Intel Sony VMWare Vodafone Linksys Epson MSI Akamai DLink Oracle (Dyn) Gauselmann Singtel

Avast 表示,由于服务器中信息不全,遭到攻击的公司比列表的更多。

两台服务器上的所有登录记录显示,攻击者可能居住在俄罗斯东部、中国和印度时区;此前卡巴斯基和思科的研究还表明,此次攻击可能与 Axiom APT 有关。但这也可能是攻击者故意伪造的,还需要进一步研究。

新时间线:

基于 Avast 的日志分析,可以得出以下时间表:

7 月 3 日⮞ 攻击者入侵 Piriform 基础设施。 7 月 19 日⮞ Avast 宣布收购 Pirly 公司(即开发 CCleaner 的公司); 7 月 31 日 06:32 ⮞ 攻击者安装 C&C 服务器; 8 月 11 日 07:36 ⮞ 攻击者启动数据采集程序,准备在 8 月 15 日 入侵 CCleaner、修改 CCleaner 二进制文件和 CCleaner 云二进制文件; 8 月 15 日 ⮞ Piriform 成为 Avast 的分公司,发布 CCleaner 5.33。 CCleaner 5.33.6162 版本被(Floxif)恶意软件感染; 8 月 20 日和 21 日 ⮞ Morphisec 的安全产品检测到 CCleaner 首个实际恶意活动并加以阻止,但并未加以重视; 8 月 24 日 ⮞ Piriform 发布被 Floxif 木马感染的 CCleaner Cloud v1.07.3191; 9 月 10 日 20:59 ⮞ 攻击者的 C&C 服务器空间不足,停止数据收集。攻击者备份原始数据库; 9 月 11 日⮞ Morphisec 客户与公司工程师共享关于 CCleaner 恶意活动详情的检测日志; 9 月 12 日 07:56 ⮞ 攻击者清楚 C&C 服务器内容; 9 月 12 日 08:02 ⮞攻击者重新安装 C&C 服务器; 9 月 12 日 ⮞ Morphisec 向 Avast 和 Cisco 汇报 CCleaner 恶意活动, Avast 展开调查并上报执法部门,思科也开始调查; 9 月 14 日 ⮞ 思科通知Avast自己的发现; 9 月 15 日 ⮞ 当局查获 C&C 服务器; 9 月 15 日 ⮞ Avast 发布安全的 CCleaner 5.34 和 CCleaner Cloud 1.07.3214 版本; 9 月 18 日 ⮞ 思科、Morphisec 和 Avast / Piriform 发布报告之后,CCleaner 后门事件全面曝光; 9 月? ⮞ ServerCrate 将备份服务器的副本提供给 Avast; 最新 ⮞ Avast 公布受感染公司名单及更多调查详情。

本文分享自微信公众号 - FreeBuf(freebuf),作者:AngelaY

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑帽SEO剖析之隐身篇

    此系统文章总共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为隐身篇,主要介绍黑帽seo中一些隐身的手段。 黑帽seo与其他黑产行为不同的是,它需要时间去...

    FB客服
  • 揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

    Bondnet的控制者通过一系列公开漏洞,利用Windows管理服务(WMI)木马对服务器进行入侵控制。根据GuardiCore的分析显示,昵称为Bond007...

    FB客服
  • 让子弹多飞一会 | 论如何优化DDoS

    假设1枚炮弹击中目标的伤害为10,而4枚炮弹同时击中目标的伤害为200。现在我方只有一门火炮,4枚炮弹。此火炮每次只能发射一枚炮弹。问如何操作可以使其伤害达到2...

    FB客服
  • 使用python分析微信好友

    用户1359560
  • 腾讯云品牌关怀计划

    这个春节令人难忘 在担忧疫情的同时 千千万万家企业的境况也并不乐观 腾讯云作为万千企业的一员 与大家并肩携手“战”在一起 特此, 腾讯云市场推出 「企业品牌关...

    腾讯云DNSPod团队
  • [Go] 从零开始项目-基于gin框架打造restfull风格API

    如果代码放在了github里 , 那么就在src目录下新建的 github.com/用户名/仓库名 这个目录下进行开发工作

    陶士涵
  • 微软收购TikTok在即,比尔·盖茨却说「这是有毒的圣杯」!

    近日在接受连线杂志采访时,盖茨明确表示,微软收购 TikTok 部分业务并非易事。还将收购比作「金杯毒酒」(poisoned chalice)。

    新智元
  • 帮你快速抢红包,微信聊天记录竟有这些隐藏操作? | 晓技巧

    知晓君
  • 查看指令作用

    JNingWei
  • linux 下RMAN备份shell脚本

           RMAN备份对于Oracle数据库的备份与恢复简单易用,成本低廉。对于使用非catalog方式而言,将RMAN脚本嵌入到shell脚本,然后再通过...

    Leshami

扫码关注云+社区

领取腾讯云代金券