拥有20亿次下载量的CCleaner被植入后门,版本为合法数字证书

释放双眼,带上耳机,听听看~!

目前影响版本:CCleaner的5.33.6162版本和CCleaner Cloud 1.07.3191

被植入版本5.33.6162  国内仍然有下载站点

而且都被报安全

   出现问题的版本是在 2017 年 8 月 15 日发布的,直到9月11日才从官方服务器上移除。由于该版本使用了有效的数字签名,因此截止到目前为止大多数安全厂商仍无法检测。  

CCleaner总共拥有20亿次下载量,且每周的下载量超过 500 万,从发布日期到移除日期,估算该版本或有将近2000万次的下载量,这意味着有大量用户可能已经受到感染。

未经授权的CCleaner.exe二进制修改会导致两台后门插入,从而能够在受影响的系统上运行从远程IP地址接收的代码。

可疑代码隐藏在应用程序的初始化代码CRT(Common Runtime)中,通常由编译器编译时插入。 此代码修改由以下函数调用执行( 红色 标记的函数 表示CRT修改):

此修改在主应用程序代码之前执行以下操作:

  • 它解密和解压缩硬编码的shellcode(10 kB大) – 使用简单的基于XOR的密码。

  • 结果(大小为16 kB)是一个缺少MZ头的DLL(动态链接库)。

  • 随后该DLL被加载并在独立线程中执行。

  • 之后,正常执行CRT代码和主CCleaner继续,导致线程在有效载荷运行在后台。

修补CRT代码的插图(见修改版本中添加的有效负载解密例程的调用):

在该线程中执行的代码被严重模糊,以使其分析更加困难(加密的字符串,间接API调用等)。 可疑代码正在执行以下操作:

  • 它存储某些信息在Windows注册表项HKLM \ SOFTWARE \ Piriform \ Agomo中:

    • MUID:识别特定系统的随机生成号码。 也可以用作通信加密密钥。

    • TCID:用于检查是否执行某些动作(通信等)的定时器值

    • NID:二级CnC服务器的IP地址

  • 此外,它收集了有关本地系统的以下信息:

    • 电脑名称

    • 安装的软件列表,包括Windows更新

    • 运行进程列表

    • 前三个网络适配器的MAC地址

    • 有关进程是否以管理员权限运行的附加信息,是否为64位系统等。

  • 所有收集的信息都通过修改后的base64加密

  • 编码信息随后通过HTTPS POST请求提交到外部IP地址216.126.225.148(该地址在有效载荷中被硬编码)。 在通信中还有一个伪造主机:speccy.piriform.com”。

  • 然后,代码从相同的IP地址读取回复,为其提供从上述IP地址下载第二阶段有效载荷的功能。 作为自定义base64编码字符串接收第二阶段有效负载,由与第一阶段代码中的所有字符串相同的基于xor的加密算法进一步加密。 

    目前没有发现第二段载荷的执行

  • 如果IP地址不可达,则以DGA(域名生成器)形式的备份激活并用于将通信重定向到其他位置。 

    这些DGA域名已经被Talos实验室注册了

官方声明地址:

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

Talos实验室分析:

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html


目前对应的DGA域名已经被注册

且C&C服务器已经停机

官方发文也称,已经更新。

详细分析可以看freebuf,已发文。

走过路过点波关注!

本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT28最新攻击分析报告

2019-10-16 10:06:48

安全工具

美国NSA新网络安全局开始运营,窥探一些该局设施信息

2019-10-16 10:06:54

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索