Objevilo se druhé užitečné zatížení CCleaner Malware

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Nová zpráva společnosti Cisco's Talos Group navrhuje že hacker CCleaner byl sofistikovanější, než se původně myslelo. Vědci objevili důkazy o druhém užitečném zatížení při analýze malwaru, který se zaměřil na velmi specifické skupiny založené na doménách.

18. září 2017 Piriform nahlásil že infrastruktura společnosti distribuovala škodlivou verzi softwaru CCleaner pro čištění souborů přibližně měsíc.

Infrastruktura společnosti byla ohrožena a uživatelé, kteří si stáhli verzi 5.33 produktu CCleaner z webu nebo pomocí automatické aktualizace nainstalovali, dostali infikovanou verzi do svého systému.

Mluvili jsme o metodách, jak zjistit, zda je v systému nainstalována infikovaná verze. Pravděpodobně nejlepším ukazatelem, kromě kontroly verze CCleaner, je kontrola existence klíčů registru pod HKLM SOFTWARE Piriform Agomo.

ccleaner 2nd payload

Piriform rychle uvedl, že uživatelé mohou problém vyřešit aktualizací na nový verze CCleaner neobsahující malware .

Nová zpráva naznačuje, že to nemusí stačit.

Skupina Talos našla důkazy o tom, že útok byl sofistikovanější, protože zacílil na konkrétní seznam domén s druhým užitečným zatížením.

  • singtel.corp.root
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Vědci naznačují, že útočník byl po duševním vlastnictví založen na seznamu domén, které patří k špičkovým technologickým společnostem.

Zajímavé je, že uvedené pole obsahuje doménu společnosti Cisco (cisco.com) spolu s dalšími technologickými společnostmi na vysoké úrovni. To by naznačovalo velmi zaměřeného herce po hodnotném duševním vlastnictví.

Skupina Talos navrhla obnovit počítačový systém pomocí zálohy, která byla vytvořena před infikováním. Nové důkazy to posilují a vědci důrazně naznačují, že pro aktualizaci CCleaner nemusí být dostačující, aby se malware zbavil.

Tato zjištění také podporují a posilují naše předchozí doporučení, že ti, kterých se tento útok v dodavatelském řetězci týká, by neměli pouze odstranit postiženou verzi CCleaner nebo aktualizovat na nejnovější verzi, ale měli by se obnovit ze záloh nebo reimage systémů, aby zajistili, že zcela odstraní nejen backdoored verze CCleaner, ale také jakýkoli jiný malware, který může být v systému rezidentní.

Instalační program fáze 2 je GeeSetup_x86.dll. Zkontroluje verzi operačního systému a na základě kontroly zavede do systému 32bitovou nebo 64bitovou verzi trojského koně.

32bitový trojan je TSMSISrv.dll, 64bitový trojan je EFACli64.dll.

Identifikace užitečných zatížení 2. fáze

Následující informace pomáhají určit, zda bylo v systému vysazeno užitečné zatížení fáze 2.

Klíče registru:

  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

Soubory:

  • GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
  • DLL v registru: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Užitečné zatížení 2. fáze: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83