系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。

研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此在 9 月 12 日将该数据库删除。这意味着受害者信息现在已经丢失、无法追查,且感染第二阶段后门 payload 的计算机数量可能比最初预估的更大。

CCleaner 后门可以收集用户信息并将其发送给受攻击者控制的服务器,该服务器已经在 9 月 15 日关闭。整个后门事件中,在 8 月 15 日至 9 月 12 日期间下载受感染的 CCleaner 的用户共达 272 万。

CCleaner 事件简要总结

CCleaner 是一款免费的系统优化和隐私保护工具。主要用来清除 Windows 系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。7 月初,CCleaner 就遭到了攻击,那时候 Avast 还没有收购 CCleaner 的制造商 Piriform。当时,黑客设法入侵了公司的系统,并修改了 32 位 CCleaner 5.33.6162 版本和 CCleaner Cloud v1.07.3191 版本,分别植入了后门。这个后门的完整感染过程分为三个阶段:

第一阶段的恶意 payload 仅在 32 位平台上执行,收集受感染 PC 的数据,并将收集到的详细信息发送到远程C&C服务器。服务器将把这些信息存储在一个 MariaDB(MySQL fork)中,并且会在每个受感染的主机上运行一系列过滤器,以确定是否发送第二阶段的 payload(一个非常隐蔽的后门木马)。

根据 Cisco Talos 的分析,C&C 服务器可以在大型科技公司的网络中寻找计算机并进行感染。研究人员回收的列表显示,Google,Microsoft,HTC,Samsung,Intel,Sony,VMWare,O2,Vodafone,Linksys,Epson,MSI,Akamai,DLink,Oracle(Dyn),Gauselmann 和 Singtel 等公司都是 C&C 服务的搜索目标。

第二阶段的 payload 需要连接到另一个 C&C 服务器,发送受感染机器上的信息,并从服务器检索和执行附加代码。此外,还使用 GeeSetup_x86.dll 安装程序,可以根据受感染系统的不同架构而获取不同的恶意软件。植入的恶意软件被保存到注册表中,同时可以巧妙地提取注册表、装载程序并运行。

在 x64 系统上,攻击者通过向保护代码、避免缓冲区溢出的函数 __security_init_cookie 添加几个指令,来修改 C 运行时间(CRT)。他们添加的指令可以使 _pRawDllMain 函数指针链接到提取隐藏注册表 payload loader 的特定函数上。

研究表明,第二阶段的 payload 中还包含一个死亡开关(kill switch),只会在系统感染之后触发。具体来说,在执行时,该 payload 会检查 %TEMP%\ spf 文件是否存在,如果文件存在,则终止执行。此外,第二阶段的 payload 还可以通过 GitHub 页面、WordPress 托管页面,或通过读取未命名域名的 DNS 记录来检索 C&C IP 地址。在调查期间,Avast 发现 GitHub 和 WordPress 页面已经不存在,且未命名的域名也没有注册 IP 地址。因此,这个 payload 不可能与第二个 C&C 通信,也不可能发送第三阶段的 payload。

攻击者的数据库记录了感染第一、第二阶段恶意 payload 的所有计算机信息。

第三阶段的 payload 也可能与攻击有关,但目前尚未有更详细的信息。

查获 C&C 服务器,恢复数据、日志

安全公司上周检测到被植入后门的 CCleaner 可执行文件后,立刻就联系了 Avast。 Avast 配合执法部门查获了收集用户数据的服务器(IP:216.126.225.148)。服务器查获后,Cisco Talos 和 Avast 先后发布了数据分析,发现了一些新的细节。

从服务器日志中提取出来的新信息表明,攻击者将后门植入到 CCleaner 的前几天,这个服务器就已经设置好了。不过,时刻也指出,尽管服务器已经上线了一个多月,但数据库中只包含 9 月 12 日至 9 月 16 日间活跃的感染信息,而且没有任何其他信息。

Avast 进一步表示,在对日志进行更深入的分析之后,发现服务器的磁盘内存已满,因此攻击者不得不删除之前记录的数据(当然,在删除之前,攻击者很可能已经将这些数据下载备份了)。

由于黑客删除了数据库,自 8 月 15 日到 9 月 12 日这 28 天的感染数据均已丢失。

不幸的是,这个服务器磁盘容量有限、比较低端,否则(在服务器关机前的5天),如果整个数据库从初始发布日期起就完好无损,我们就能通过分析数据而更清楚地了解到真正受到后门影响的受害者。

**

发现第二台服务器,公布受感染公司名单

经过几天的深入研究, Avast 发现了黑客使用的第二台服务器(IP:216.126.225.163)。根据第一台和第二胎服务器的内容,Avast 发现实际受第一阶段 payload 感染并反馈给 C&C 服务器的计算机数目有 1646536 台(事件发生期间,共有 227 万用户下载了有后门的 CCleaner)。其中受第二阶段 payload 感染的计算机数目则只有 40 台。

Avast 还公布了受感染的公司名单:

Chunghwa Telecom NEC Samsung ASUS Fujitsu Sony IPAddress.com O2 Gauselmann Singtel Intel VMWare

其中,受感染最严重(13 台计算机受感染)的是一家台湾网络服务供应商 Chunghwa Telecom,其次是日本 IT 公司 NEC (10 台计算机受感染)。三星公司排名第三,有 5 台计算机受感染。

此外,还有一部分遭到攻击但未被感染的公司:

Google Microsoft HTC Samsung Intel Sony VMWare Vodafone Linksys Epson MSI Akamai DLink Oracle (Dyn) Gauselmann Singtel

Avast 表示,由于服务器中信息不全,遭到攻击的公司比列表的更多。

两台服务器上的所有登录记录显示,攻击者可能居住在俄罗斯东部、中国和印度时区;此前卡巴斯基和思科的研究还表明,此次攻击可能与 Axiom APT 有关。但这也可能是攻击者故意伪造的,还需要进一步研究。

新时间线:

基于 Avast 的日志分析,可以得出以下时间表:

7 月 3 日⮞ 攻击者入侵 Piriform 基础设施。 7 月 19 日⮞ Avast 宣布收购 Pirly 公司(即开发 CCleaner 的公司); 7 月 31 日 06:32 ⮞ 攻击者安装 C&C 服务器; 8 月 11 日 07:36 ⮞ 攻击者启动数据采集程序,准备在 8 月 15 日 入侵 CCleaner、修改 CCleaner 二进制文件和 CCleaner 云二进制文件; 8 月 15 日 ⮞ Piriform 成为 Avast 的分公司,发布 CCleaner 5.33。 CCleaner 5.33.6162 版本被(Floxif)恶意软件感染; 8 月 20 日和 21 日 ⮞ Morphisec 的安全产品检测到 CCleaner 首个实际恶意活动并加以阻止,但并未加以重视; 8 月 24 日 ⮞ Piriform 发布被 Floxif 木马感染的 CCleaner Cloud v1.07.3191; 9 月 10 日 20:59 ⮞ 攻击者的 C&C 服务器空间不足,停止数据收集。攻击者备份原始数据库; 9 月 11 日⮞ Morphisec 客户与公司工程师共享关于 CCleaner 恶意活动详情的检测日志; 9 月 12 日 07:56 ⮞ 攻击者清楚 C&C 服务器内容; 9 月 12 日 08:02 ⮞攻击者重新安装 C&C 服务器; 9 月 12 日 ⮞ Morphisec 向 Avast 和 Cisco 汇报 CCleaner 恶意活动, Avast 展开调查并上报执法部门,思科也开始调查; 9 月 14 日 ⮞ 思科通知Avast自己的发现; 9 月 15 日 ⮞ 当局查获 C&C 服务器; 9 月 15 日 ⮞ Avast 发布安全的 CCleaner 5.34 和 CCleaner Cloud 1.07.3214 版本; 9 月 18 日 ⮞ 思科、Morphisec 和 Avast / Piriform 发布报告之后,CCleaner 后门事件全面曝光; 9 月? ⮞ ServerCrate 将备份服务器的副本提供给 Avast; 最新 ⮞ Avast 公布受感染公司名单及更多调查详情。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯云安全的专栏

预警 | Linux 服务器惊现比特币勒索事件,做好四点可免遭损失

5548
来自专栏FreeBuf

Chrome漏洞可致恶意站点在用户在不知情的情况下录制音频和视频

有没有可能我们在不知情的情况下被电脑录音和录像?黑客可以从而听到你的每一通电话,看到你周围的人。 听来恐怖,但有的时候我们真的无法完全知晓我们的电脑在干什么。正...

3176
来自专栏云计算D1net

使用云计算灾难恢复计划制定勒索软件恢复策略

如今,企业需要确保快照和云计算出现勒索软件,此外对备份存储执行严格的控制,以增加应对攻击的安全性。 如果勒索软件没有让IT人员夜不能寐,那么他很幸运。而如果一个...

4386
来自专栏FreeBuf

2015年数据库漏洞威胁报告

互联网就像空气,彻底的融入我们的生活之中。因此我们愈发习惯把越来越多的数据保存在网上以换取更便捷的服务。不过,随之而来的安全事件无不让人触目惊心。 回忆2015...

2367
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(2)-概要引言

概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式...

673
来自专栏FreeBuf

TR-064漏洞受影响厂商设备及TR-064协议安全性分析

作者:英国Xiphos Research高级安全研究员 Darren Martyn 过去几个星期,嵌入式设备表现出来的安全状况让人担忧,在Mirai的早期代码...

2446
来自专栏企鹅号快讯

微软发布12月安全更新,修复34项安全问题

微软2017年12月发布的补丁星期二(2017年12月12日)更新解决了30多个安全漏洞,其中包括19个影响Internet Explorer和Edge网页浏览...

3578
来自专栏SAP最佳业务实践

想学FM系列(3)-SAP FM模块:主数据(1)

3、主数据 在FM当中主数据主要分成了两类:一类是账户分配要素,另一类是预算结构用到的地址(如预算地址、记账地址)。 3.1 账户分配要素-主数据 根据PSM及...

5458
来自专栏FreeBuf

Joomla高危漏洞扫描事件分析

1.摘要 12月14日,Joomla官方网站紧急发布了一条由于安全漏洞引发的版本更新(3.4.6),根据安全公司sucuri对外发布的信息,此事扫描时间是利用了...

2328
来自专栏安恒信息

Struts2应用范围有多广?有多严重?哪些网站受到了波及?

1、什么是Struts 2漏洞? Struts是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java...

2967

扫码关注云+社区

领取腾讯云代金券