著名系统优化工具CCleaner被植入恶意代码 全球2000万用户受感染

著名系统优化工具CCleaner被植入恶意代码 全球2000万用户受感染

编程入门访客2021-10-11 19:24:004525A+A-

近日,有安全研究团队表示,著名系统优化工具CCleaner被发现植入恶意代码。大量使用该工具的用户恐将面临泄密风险。这是继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。据研究人员估算全球2000万用户受到感染,但CCleaner官方称只有227万用户受到影响。

CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。

目前国内下载站点仍在分发存在后门的版本。瑞星在此提醒广大使用该工具的用户,及时卸载有问题的版本,下载CCleaner最新版本,避免隐私泄露的风险。

CCleaner最新版本下载地址:https://www.piriform.com/ccleaner/download

瑞星所有安全产品只要将版本升级到最新便可对其查杀。

影响版本

CCleaner  5.33.6162

CCleaner Cloud version 1.07.3191

事件分析

恶意代码收集了受害者系统的以下信息:

(1)计算机名称

(2)安装的软件列表,包括Windows更新

(3)运行的进程列表

(4)前三个网卡的MAC地址

(5)进程是否以管理员权限运行的附加信息,是否为64位系统等。

所有收集的信息都通过base64加密并使用自定义字母编码。

CCleaner公告称植入恶意代码事件,攻击源来自哪里、准备时间长短、攻击者是谁,目前还在进一步调查中

由于被植入恶意代码的CCleaner签名有效,且程序功能完整,恶意代码隐藏在应用程序的初始化代码CRT(Common Runtime)中,通常由编译器编译时插入。有两种可能导致此事件:

(1)攻击者入侵开发人员计算机,在源码中留下后门。

(2)攻击者入侵开发人员计算机和下载服务器。 盗走源码和数字签名,修改后编译后替换下载服务器中的程序。

图:有效的数字签名

病毒详细分析

攻击者添加了TLS回调函数,在回调函数的线程中执行恶意代码,会早于main函数被执行

图:TLS回调函数

被加密的shellcode

图:加密的shellcode

解密shellcode的函数

图:解密函数

把解密后的shellcode复制到申请的内存中,并跳转执行

图:复制并执行shellcode

动态获取需要用到的函数地址

图:动态获取函数地址

解密完成后,创建线程执行恶意功能

图:创建线程执行恶意功能

获取网卡信息

图:获取网卡信息

进程所属用户组是否为管理员权限

图:判断进程权限

获取计算机用户名

图:获取计算机信息

异或加密获取到的受害者机器信息

图:异或加密获取的信息

base64编码后

图:base64编码

拼凑控制服务器IP

图:拼凑控制服务器IP

连接控制服务器

图:连接控制服务器

发送编码后的受害者计算机信息

图:发送编码后的信息

如果默认的控制服务器连接失败,还可以通过DGA算法生成域名

图:DGA算法生成域名

IOC:

MD5:

75735DB7291A19329190757437BDB847

EF694B89AD7ADDB9A16BB6F26F1EFAF7

IP:

216.126.225.148

DGA 域名:

域名 生效月份
ab6d54340c1a.com 2017年2月
aba9a949bc1d.com 2017年3月
ab2da3d400c20.com 2017年4月
ab3520430c23.com 2017年5月
ab1c403220c27.com 2017年6月
ab1abad1d0c2a.com 2017年7月
ab8cee60c2d.com 2017年8月
ab1145b758c30.com 2017年9月
ab890e964c34.com 2017年10月
ab3d685a0c37.com 2017年11月
ab70a139cc3a.com 2017年12月

来源:瑞星

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 竹祭笙沉2022-05-28 17:34:54
  • 后的信息如果默认的控制服务器连接失败,还可以通过DGA算法生成域名图:DGA算法生成域名IOC:MD5:75735DB7291A19329190757437BDB847EF69
  • 弦久辞忧2022-05-28 20:31:54
  • code图:加密的shellcode解密shellcode的函数图:解密函数把解密后的shellcode复制到申请的内存中,并跳转执行图:复制并执行shellcode动态获取需要用到的函数地
  • 晴枙浊厌2022-05-28 21:32:34
  • 务器IP连接控制服务器图:连接控制服务器发送编码后的受害者计算机信息图:发送编码后的信息如果默认的控制服务器连接失败,还可以通过DGA算法生成域名图:DGA算法生成域名IOC:MD5:75735DB7291A19329190757437BDB847EF694B89AD7ADD
  • 夙世夏见2022-05-28 14:26:15
  • 员权限图:判断进程权限获取计算机用户名图:获取计算机信息异或加密获取到的受害者机器信息图:异或加密获取的信息base64编码后图:base64编码拼凑控制服务器IP图:拼凑控制服务器IP连接控制服务器图:连接控制服务器发送编码后的受害者计算机信息图:发送编码后的信息如果默认的控制服务器连接
  • 莣萳辞慾2022-05-28 17:20:40
  • TLS回调函数,在回调函数的线程中执行恶意代码,会早于main函数被执行图:TLS回调函数被加密的shellcode图:加密的shellcode解密shellcode的函数图:解

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理