A CCleaner Malware második hasznos teherét fedezte fel

A Cisco Talos csoportjának új jelentése javasolja hogy a CCleaner hack kifinomultabb volt, mint az eredetileg gondolták. A kutatók a második hasznos terhelésről bizonyítékokat találtak a rosszindulatú programok elemzése során, amelyek domain-alapú nagyon specifikus csoportokat céloztak meg.

2017. szeptember 18-án Piriform számolt be hogy a vállalat infrastruktúrája körülbelül egy hónapig terjesztette a CCleaner fájltisztító szoftver rosszindulatú verzióját.



A vállalat infrastruktúrája veszélybe került, és azok a felhasználók, akik letöltötték a CCleaner 5.33-es verzióját a webhelyről, vagy automatikus frissítéseket használtak a telepítéshez, megfertőzött verziót kaptak a rendszerükre.

Olyan módszerekről beszéltünk, amelyekkel azonosítható, hogy egy fertőzött verzió van-e telepítve a rendszerre. A CCleaner verziójának ellenőrzésén kívül valószínűleg a legjobb mutató a HKLM SOFTWARE Piriform Agomo alatt található regisztrációs kulcsok ellenőrzése.

ccleaner 2nd payload

A Piriform gyorsan kijelentette, hogy a felhasználók az újra való frissítéssel megoldhatják a problémát a CCleaner rosszindulatú verziója.



Egy új jelentés szerint ez lehet nem elég.

A Talos Group bizonyítékot talált arra, hogy a támadás kifinomultabb, mivel a második hasznos teherrel rendelkező tartományok egy konkrét listáját célozta meg.

  • singtel.corp.root
  • htcgroup.corp
  • samsung-Breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

A kutatók azt sugallják, hogy a támadó szellemi tulajdonát képezte a magas szintű technológiai vállalatokhoz tartozó domainek felsorolása alapján.

Érdekes módon a megadott tömb a Cisco domainjét (cisco.com) és más magas szintű technológiai vállalatokat tartalmazza. Ez egy nagyon koncentrált szereplőre utalhat az értékes szellemi tulajdon után.

A Talos Group azt javasolta, hogy állítsák vissza a számítógépes rendszert a fertőzés előtt létrehozott biztonsági másolat segítségével. Az új bizonyítékok megerősítik ezt, és a kutatók határozottan azt sugallják, hogy lehet, hogy nem elegendő a CCleaner egyszerű frissítése a rosszindulatú programoktól való megszabadulás érdekében.

Ezek az eredmények alátámasztják és megerősítik korábbi ajánlásainkat is, miszerint az ellátási lánc támadása által érintett személyeknek nem szabad egyszerűen eltávolítani az érintett CCleaner verziót, vagy frissíteniük a legújabb verzióra, hanem helyreállítaniuk a biztonsági másolatokból vagy a reimage rendszerekből annak biztosítása érdekében, hogy azok nemcsak a a CCleaner hátralévő verziója, valamint minden egyéb rosszindulatú program, amely a rendszerben található.

A 2. szakasz telepítője a GeeSetup_x86.dll. Ellenőrzi az operációs rendszer verzióját, és az ellenőrzés alapján telepíti a rendszerbe a trójai 32 bites vagy 64 bites verzióját.

A 32 bites trójai TSMSISrv.dll, a 64 bites trójai az EFACli64.dll.

A 2. szakasz hasznos teherének azonosítása

Az alábbi információk segítenek azonosítani, hogy a 2. szakasz hasznos teherét ültették-e a rendszerre.

Nyilvántartási kulcsok:

  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

fájlok:

  • GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (hasítás: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (hasítás: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
  • DLL beállításjegyzékben: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • 2. szakasz hasznos teher: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83