系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单
系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单
Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。
研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此在 9 月 12 日将该数据库删除。这意味着受害者信息现在已经丢失、无法追查,且感染第二阶段后门 payload 的计算机数量可能比最初预估的更大。
CCleaner 后门可以收集用户信息并将其发送给受攻击者控制的服务器,该服务器已经在 9 月 15 日关闭。整个后门事件中,在 8 月 15 日至 9 月 12 日期间下载受感染的 CCleaner 的用户共达 272 万。
CCleaner 事件简要总结
CCleaner 是一款免费的系统优化和隐私保护工具。主要用来清除 Windows 系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。7 月初,CCleaner 就遭到了攻击,那时候 Avast 还没有收购 CCleaner 的制造商 Piriform。当时,黑客设法入侵了公司的系统,并修改了 32 位 CCleaner 5.33.6162 版本和 CCleaner Cloud v1.07.3191 版本,分别植入了后门。这个后门的完整感染过程分为三个阶段:
第一阶段的恶意 payload 仅在 32 位平台上执行,收集受感染 PC 的数据,并将收集到的详细信息发送到远程C&C服务器。服务器将把这些信息存储在一个 MariaDB(MySQL fork)中,并且会在每个受感染的主机上运行一系列过滤器,以确定是否发送第二阶段的 payload(一个非常隐蔽的后门木马)。
根据 Cisco Talos 的分析,C&C 服务器可以在大型科技公司的网络中寻找计算机并进行感染。研究人员回收的列表显示,Google,Microsoft,HTC,Samsung,Intel,Sony,VMWare,O2,Vodafone,Linksys,Epson,MSI,Akamai,DLink,Oracle(Dyn),Gauselmann 和 Singtel 等公司都是 C&C 服务的搜索目标。
第二阶段的 payload 需要连接到另一个 C&C 服务器,发送受感染机器上的信息,并从服务器检索和执行附加代码。此外,还使用 GeeSetup_x86.dll 安装程序,可以根据受感染系统的不同架构而获取不同的恶意软件。植入的恶意软件被保存到注册表中,同时可以巧妙地提取注册表、装载程序并运行。
在 x64 系统上,攻击者通过向保护代码、避免缓冲区溢出的函数 __security_init_cookie 添加几个指令,来修改 C 运行时间(CRT)。他们添加的指令可以使 _pRawDllMain 函数指针链接到提取隐藏注册表 payload loader 的特定函数上。
研究表明,第二阶段的 payload 中还包含一个死亡开关(kill switch),只会在系统感染之后触发。具体来说,在执行时,该 payload 会检查 %TEMP%\ spf 文件是否存在,如果文件存在,则终止执行。此外,第二阶段的 payload 还可以通过 GitHub 页面、WordPress 托管页面,或通过读取未命名域名的 DNS 记录来检索 C&C IP 地址。在调查期间,Avast 发现 GitHub 和 WordPress 页面已经不存在,且未命名的域名也没有注册 IP 地址。因此,这个 payload 不可能与第二个 C&C 通信,也不可能发送第三阶段的 payload。
攻击者的数据库记录了感染第一、第二阶段恶意 payload 的所有计算机信息。
第三阶段的 payload 也可能与攻击有关,但目前尚未有更详细的信息。
查获 C&C 服务器,恢复数据、日志
安全公司上周检测到被植入后门的 CCleaner 可执行文件后,立刻就联系了 Avast。 Avast 配合执法部门查获了收集用户数据的服务器(IP:216.126.225.148)。服务器查获后,Cisco Talos 和 Avast 先后发布了数据分析,发现了一些新的细节。
从服务器日志中提取出来的新信息表明,攻击者将后门植入到 CCleaner 的前几天,这个服务器就已经设置好了。不过,时刻也指出,尽管服务器已经上线了一个多月,但数据库中只包含 9 月 12 日至 9 月 16 日间活跃的感染信息,而且没有任何其他信息。
Avast 进一步表示,在对日志进行更深入的分析之后,发现服务器的磁盘内存已满,因此攻击者不得不删除之前记录的数据(当然,在删除之前,攻击者很可能已经将这些数据下载备份了)。
由于黑客删除了数据库,自 8 月 15 日到 9 月 12 日这 28 天的感染数据均已丢失。
不幸的是,这个服务器磁盘容量有限、比较低端,否则(在服务器关机前的5天),如果整个数据库从初始发布日期起就完好无损,我们就能通过分析数据而更清楚地了解到真正受到后门影响的受害者。
**
发现第二台服务器,公布受感染公司名单
经过几天的深入研究, Avast 发现了黑客使用的第二台服务器(IP:216.126.225.163)。根据第一台和第二胎服务器的内容,Avast 发现实际受第一阶段 payload 感染并反馈给 C&C 服务器的计算机数目有 1646536 台(事件发生期间,共有 227 万用户下载了有后门的 CCleaner)。其中受第二阶段 payload 感染的计算机数目则只有 40 台。
Avast 还公布了受感染的公司名单:
Chunghwa Telecom NEC Samsung ASUS Fujitsu Sony IPAddress.com O2 Gauselmann Singtel Intel VMWare
其中,受感染最严重(13 台计算机受感染)的是一家中国台湾网络服务供应商 Chunghwa Telecom,其次是日本 IT 公司 NEC (10 台计算机受感染)。三星公司排名第三,有 5 台计算机受感染。
此外,还有一部分遭到攻击但未被感染的公司:
Google Microsoft HTC Samsung Intel Sony VMWare Vodafone Linksys Epson MSI Akamai DLink Oracle (Dyn) Gauselmann Singtel
Avast 表示,由于服务器中信息不全,遭到攻击的公司比列表的更多。
两台服务器上的所有登录记录显示,攻击者可能居住在俄罗斯东部、中国和印度时区;此前卡巴斯基和思科的研究还表明,此次攻击可能与 Axiom APT 有关。但这也可能是攻击者故意伪造的,还需要进一步研究。
新时间线:
基于 Avast 的日志分析,可以得出以下时间表:
7 月 3 日⮞ 攻击者入侵 Piriform 基础设施。 7 月 19 日⮞ Avast 宣布收购 Pirly 公司(即开发 CCleaner 的公司); 7 月 31 日 06:32 ⮞ 攻击者安装 C&C 服务器; 8 月 11 日 07:36 ⮞ 攻击者启动数据采集程序,准备在 8 月 15 日 入侵 CCleaner、修改 CCleaner 二进制文件和 CCleaner 云二进制文件; 8 月 15 日 ⮞ Piriform 成为 Avast 的分公司,发布 CCleaner 5.33。 CCleaner 5.33.6162 版本被(Floxif)恶意软件感染; 8 月 20 日和 21 日 ⮞ Morphisec 的安全产品检测到 CCleaner 首个实际恶意活动并加以阻止,但并未加以重视; 8 月 24 日 ⮞ Piriform 发布被 Floxif 木马感染的 CCleaner Cloud v1.07.3191; 9 月 10 日 20:59 ⮞ 攻击者的 C&C 服务器空间不足,停止数据收集。攻击者备份原始数据库; 9 月 11 日⮞ Morphisec 客户与公司工程师共享关于 CCleaner 恶意活动详情的检测日志; 9 月 12 日 07:56 ⮞ 攻击者清楚 C&C 服务器内容; 9 月 12 日 08:02 ⮞攻击者重新安装 C&C 服务器; 9 月 12 日 ⮞ Morphisec 向 Avast 和 Cisco 汇报 CCleaner 恶意活动, Avast 展开调查并上报执法部门,思科也开始调查; 9 月 14 日 ⮞ 思科通知Avast自己的发现; 9 月 15 日 ⮞ 当局查获 C&C 服务器; 9 月 15 日 ⮞ Avast 发布安全的 CCleaner 5.34 和 CCleaner Cloud 1.07.3214 版本; 9 月 18 日 ⮞ 思科、Morphisec 和 Avast / Piriform 发布报告之后,CCleaner 后门事件全面曝光; 9 月? ⮞ ServerCrate 将备份服务器的副本提供给 Avast; 最新 ⮞ Avast 公布受感染公司名单及更多调查详情。