文档信息
| 文档编号 | QiAnXinTI-2017-0008 |
| 关键字 | CCleaner 后门代码 |
| 发布日期 | 2017年9月18日 |
| 更新日期 | 2017年9月19日 |
| TLP | WHITE |
| 分析团队 | 奇安信威胁情报中心 |
事件概要
| 攻击目标 | 使用CCleaner部分版本的用户 |
| 攻击目的 | 收集系统相关的信息,下载执行任意恶意代码 |
| 主要风险 | 系统敏感信息泄露,系统被非授权控制 |
| 攻击入口 | 下载安装执行某个官方版本的CCleaner软件 |
| 使用漏洞 | 无 |
| 通信控制 | 通过https的post请求发送主机信息,接收发送回来的加密payload并解密执行 |
| 受影响应用 | CCleaner version 5.33.6162 CCleaner Cloud version 1.07.3191 |
| 已知影响 | 奇安信威胁情报中心评估国内受感染用户在万级 |
| 分析摘要 | 攻击者入侵CCleaner的开发系统,污染软件源代码并植入后门,供应链类型的攻击。 1、攻击者疑似修改了程序静态导入库函数__scrt_get_dyn_tls_init_callback的用户回调函数,并将其指向了攻击者设置的恶意代码,这样会在程序执行main函数之前触发执行恶意代码。 2、收集主机信息(主机名、已安装软件列表、进程列表和网卡信息等)加密编码后通过https的post请求尝试发送到远程IP:216.126.225.148:443,且伪造http头的host字段为:speccy.piriform.com,并下载执行任意恶意代码。 3、若IP失效,则根据月份生成DGA域名,并再次尝试发送同样的信息,如果成功则下载执行任意恶意代码。 |
事件简述
2017年9月18日,Piriform 官方发布安全公告,公告称该公司开发的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被植入了恶意代码。
CCleaner是独立的软件工作室Piriform开发的系统优化和隐私保护工具,主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,它的另一大功能是清除使用者的上网记录。自从2004年2月发布以来,CCleaner的用户数目迅速增长而且很快成为使用量第一的系统垃圾清理及隐私保护软件。而正是这样一款隐私保护软件却被爆出在官方发布的版本中被植入恶意代码,且该恶意代码具备执行任意代码的功能。
继Xshell被植入后门代码事件后,这是又一起严重的软件供应链攻击事件。
事件时间线
2017-9-18 piriform公司发布事件相关安全公告
影响面和危害分析
目前已经确认使用了特洛伊化的CCleaner的用户一旦启动该程序,主机相关基本信息(主机名、已安装软件列表、进程列表和网卡信息等)会被加密发送出去。同时,如果外部的C&C服务器处于活动状态,受影响系统则可能接收到下一阶段的恶意代码,这些恶意代码可能执行攻击者指定任意恶意功能,包括但不仅限于远程持久化控制、窃取更多敏感信息。
被植入了恶意代码的CCleaner版本主要具备如下恶意功能:
1、攻击者修改程序静态导入库函数__scrt_get_dyn_tls_init_callback以执行恶意代码。
2、收集主机信息(主机名、已安装软件列表、进程列表和网卡信息等)加密编码后通过https的post请求尝试发送到远程IP:216.126.225.148:443,且伪造http头的host字段为:speccy.piriform.com,并下载执行任意恶意代码。
3、若IP失效,则根据月份生成DGA域名,并再次尝试发送同样的信息,如果成功则下载执行任意恶意代码。
奇安信威胁情报中心根据C&C域名相关的访问数量评估,国内受感染用户在万级。
解决方案
- 检查所使用的CCleaner版本是否为受影响版本,检查所在网络是否存在对于末节附件中的IP访问以及域名的解析记录,如发现,则有内网机器在使用存在后门的CCleaner版本。天眼高级威胁检测系统和NGSOC已经支持对此威胁的检测,请升级到最新版本的威胁情报。
- 隔离受感染机器,全面检查是否存在持久化的恶意代码,如有必要重装系统。
- 目前厂商piriform已经在新版本中处理了这个问题,请升级到最新版本,修改相关系统的用户名口令。下载更新最新的CCleaner版本:http://www.piriform.com/ccleaner/download
参考链接
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
https://cert.360.cn/warning/detail?id=0dc8a230ad210be8a8b872a73b18d220
附件
首次尝试回连的IP地址
| IP | 说明 |
| 216.126.225.148 | 后门代码第一次尝试发送信息的IP地址 |
DGA域名
| 域名 | 说明 |
| abde911dcc16.com | 2017年01月DGA域名 |
| ab6d54340c1a.com | 2017年02月DGA域名 |
| aba9a949bc1d.com | 2017年03月DGA域名 |
| ab2da3d400c20.com | 2017年04月DGA域名 |
| ab3520430c23.com | 2017年05月DGA域名 |
| ab1c403220c27.com | 2017年06月DGA域名 |
| ab1abad1d0c2a.com | 2017年07月DGA域名 |
| ab8cee60c2d.com | 2017年08月DGA域名 |
| ab1145b758c30.com | 2017年09月DGA域名 |
| ab890e964c34.com | 2017年10月DGA域名 |
| ab3d685a0c37.com | 2017年11月DGA域名 |
| ab70a139cc3a.com | 2017年12月DGA域名 |
| abde911dcc16.com | 2018年01月DGA域名 |
| ab99c24c0ba9.com | 2018年02月DGA域名 |
| ab2e1b782bad.com | 2018年03月DGA域名 |
文件HASH
| MD5 | 文件名 |
| ef694b89ad7addb9a16bb6f26f1efaf7 | CCleaner.exe |
| 75735db7291a19329190757437bdb847 | CCleaner.exe |
| d488e4b61c233293bec2ee09553d3a2f | CCleaner.exe |
| b1e0ea37d154ce503f8b6a8c7f6d9743 | CCleaner.exe |