Открит е вторият полезен товар на CCleaner Malware
- Категория: Сигурност
Нов доклад на Talos Group на Cisco подсказва че хакът CCleaner беше по-сложен, отколкото първоначално се смяташе. Изследователите откриха доказателства за втори полезен товар по време на анализа си на зловредния софтуер, който насочи към много специфични групи, базирани на домейни.
На 18 септември 2017г Пириформ съобщи че инфраструктурата на компанията разпространи злонамерена версия на софтуера за почистване на файлове CCleaner за около месец.
Инфраструктурата на компанията беше компрометирана и потребителите, които изтеглиха версия 5.33 на CCleaner от уебсайта или използваха автоматични актуализации, за да я инсталират, получиха заразената версия на своята система.
Говорихме за методи за идентифициране дали заразена версия е инсталирана в системата. Вероятно най-добрият индикатор, освен проверка на версията на CCleaner, е проверка за наличието на ключове на системния регистър под HKLM SOFTWARE Piriform Agomo.
Piriform бързо заяви, че потребителите могат да разрешат проблема чрез актуализиране на новото версия на CCleaner без зловреден софтуер ,
Нов доклад предполага, че това може да не е достатъчно.
Talos Group намери доказателства, че атаката е по-сложна, тъй като е насочена към конкретен списък от домейни с втори полезен товар.
- singtel.corp.root
- htcgroup.corp
- Samsung-Бреда
- Samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- Linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Изследователите предполагат, че нападателят е бил след интелектуална собственост въз основа на списъка на домейни, които принадлежат на високотехнологични компании.
Интересно е, че указаният масив съдържа домейна на Cisco (cisco.com) заедно с други високотехнологични компании. Това би предложило много фокусиран актьор след ценна интелектуална собственост.
Talos Group предложи да се възстанови компютърната система, като се използва резервно копие, създадено преди заразяването. Новите доказателства подсилват това и изследователите твърдо предполагат, че може да не е достатъчно просто да актуализирате CCleaner, за да се отървете от зловредния софтуер.
Тези констатации също подкрепят и подсилват предишната ни препоръка, че засегнатите от тази атака по веригата на доставки не трябва просто да премахват засегнатата версия на CCleaner или да се актуализират до най-новата версия, но трябва да се възстановят от архивиране или системи за повторно изобразяване, за да се гарантира, че те напълно премахват не само backdoored версия на CCleaner, но също така и всякакъв друг зловреден софтуер, който може да се намира в системата.
Инсталаторът на етап 2 е GeeSetup_x86.dll. Той проверява версията на операционната система и поставя 32-битова или 64-битова версия на трояна на системата въз основа на проверката.
32-битовият троян е TSMSISrv.dll, 64-битовият троян е EFACli64.dll.
Идентифициране на полезен товар от етап 2
Следващата информация помага да се идентифицира дали полезният товар от етап 2 е бил засаден в системата.
Ключове от регистъра:
- HKLM Софтуер Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Софтуер Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Софтуер Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Софтуер Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM Софтуер Microsoft Windows NT CurrentVersion WbemPerf HBP
файлове:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL в регистъра: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Етап 2 полезен товар: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83