A CCleaner Malware második hasznos teherét fedezte fel

• Kategória: Biztonság

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Válassza Ki Az Operációs Rendszert Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Válasszon Kivetési Programot (Opcionálisan) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Írja Le A Problémáját

Kap Egy Választ

Küldje El E -Mailben Mutasd Meg Az Oldalon

A Cisco Talos csoportjának új jelentése javasolja hogy a CCleaner hack kifinomultabb volt, mint az eredetileg gondolták. A kutatók a második hasznos terhelésről bizonyítékokat találtak a rosszindulatú programok elemzése során, amelyek domain-alapú nagyon specifikus csoportokat céloztak meg.

2017. szeptember 18-án Piriform számolt be hogy a vállalat infrastruktúrája körülbelül egy hónapig terjesztette a CCleaner fájltisztító szoftver rosszindulatú verzióját.

A vállalat infrastruktúrája veszélybe került, és azok a felhasználók, akik letöltötték a CCleaner 5.33-es verzióját a webhelyről, vagy automatikus frissítéseket használtak a telepítéshez, megfertőzött verziót kaptak a rendszerükre.

Olyan módszerekről beszéltünk, amelyekkel azonosítható, hogy egy fertőzött verzió van-e telepítve a rendszerre. A CCleaner verziójának ellenőrzésén kívül valószínűleg a legjobb mutató a HKLM SOFTWARE Piriform Agomo alatt található regisztrációs kulcsok ellenőrzése.

A Piriform gyorsan kijelentette, hogy a felhasználók az újra való frissítéssel megoldhatják a problémát a CCleaner rosszindulatú verziója .

Egy új jelentés szerint ez lehet nem elég.

A Talos Group bizonyítékot talált arra, hogy a támadás kifinomultabb, mivel a második hasznos teherrel rendelkező tartományok egy konkrét listáját célozta meg.

• singtel.corp.root
• htcgroup.corp
• samsung-Breda
• samsung
• samsung.sepm
• samsung.sk
• jp.sony.com
• am.sony.com
• gg.gauselmann.com
• vmware.com
• ger.corp.intel.com
• amr.corp.intel.com
• ntdev.corp.microsoft.com
• cisco.com
• uk.pri.o2.com
• vf-es.internal.vodafone.com
• linksys
• apo.epson.net
• msi.com.tw
• infoview2u.dvrdns.org
• dfw01.corp.akamai.com
• hq.gmail.com
• dlink.com
• test.com

A kutatók azt sugallják, hogy a támadó szellemi tulajdonát képezte a magas szintű technológiai vállalatokhoz tartozó domainek felsorolása alapján.

Érdekes módon a megadott tömb a Cisco domainjét (cisco.com) és más magas szintű technológiai vállalatokat tartalmazza. Ez egy nagyon koncentrált szereplőre utalhat az értékes szellemi tulajdon után.

A Talos Group azt javasolta, hogy állítsák vissza a számítógépes rendszert a fertőzés előtt létrehozott biztonsági másolat segítségével. Az új bizonyítékok megerősítik ezt, és a kutatók határozottan azt sugallják, hogy lehet, hogy nem elegendő a CCleaner egyszerű frissítése a rosszindulatú programoktól való megszabadulás érdekében.

Ezek az eredmények alátámasztják és megerősítik korábbi ajánlásainkat is, miszerint az ellátási lánc támadása által érintett személyeknek nem szabad egyszerűen eltávolítani az érintett CCleaner verziót, vagy frissíteniük a legújabb verzióra, hanem helyreállítaniuk a biztonsági másolatokból vagy a reimage rendszerekből annak biztosítása érdekében, hogy azok nemcsak a a CCleaner hátralévő verziója, valamint minden egyéb rosszindulatú program, amely a rendszerben található.

A 2. szakasz telepítője a GeeSetup_x86.dll. Ellenőrzi az operációs rendszer verzióját, és az ellenőrzés alapján telepíti a rendszerbe a trójai 32 bites vagy 64 bites verzióját.

A 32 bites trójai TSMSISrv.dll, a 64 bites trójai az EFACli64.dll.

A 2. szakasz hasznos teherének azonosítása

Az alábbi információk segítenek azonosítani, hogy a 2. szakasz hasznos teherét ültették-e a rendszerre.

Nyilvántartási kulcsok:

• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

fájlok:

• GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
• EFACli64.dll (hasítás: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
• TSMSISrv.dll (hasítás: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
• DLL beállításjegyzékben: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
• 2. szakasz hasznos teher: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83