Un nouveau rapport de Cisco Talos Groupe suggère que le CCleaner hack était plus sophistiqué que ce qui était initialement prévu. Les chercheurs ont trouvé la preuve d’une deuxième charge utile lors de l’analyse des logiciels malveillants qui ciblent des groupes spécifiques en fonction des domaines.
Le 18 septembre 2017 Piriforme rapporté que l’infrastructure de la société a distribué un malveillant version du fichier de logiciel de nettoyage CCleaner pour environ un mois.
L’infrastructure de la société a été compromise, et les utilisateurs qui ont téléchargé la version 5.33 de CCleaner à partir du site web ou utilisé les mises à jour automatiques pour l’installer, il a obtenu le infectées version sur leur système.
Nous avons parlé de méthodes pour déterminer si un infecté version est installée sur le système. Probablement le meilleur indicateur, mis à part la vérification de CCleaner version, est de vérifier l’existence de clés de Registre sous la clé HKLMSOFTWAREPiriformeAgomo.
Piriforme a été rapide à l’état que les utilisateurs puissent résoudre le problème en mettant à jour vers le nouveau malware-version gratuite de CCleaner.
Un nouveau rapport suggère que cela peut ne pas être suffisant.
Talos Groupe a trouvé des preuves que l’attaque était plus sophistiqués, comme il ciblé une liste de domaines avec une deuxième charge utile.
- singtel.corp.racine
- htcgroup.corp
- samsung-breda
- samsung
- de samsung.sepm
- de samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Les chercheurs suggèrent que l’attaquant était après la propriété intellectuelle basée sur la liste des domaines qui appartiennent à haut profil des entreprises de haute technologie.
Il est intéressant de noter que le tableau spécifié contient du Cisco de domaine (cisco.com) le long de avec d’autres haut-profil des entreprises de technologie. Cela pourrait suggérer un très concentré acteur après la précieuse propriété intellectuelle.
Talos Groupe a proposé de restaurer le système de l’ordinateur à l’aide d’une sauvegarde qui a été créé avant l’infection. Les nouveaux éléments de preuve renforce cette idée, et les chercheurs suggèrent fortement qu’il peut ne pas être suffisant pour une simple mise à jour de CCleaner pour se débarrasser des logiciels malveillants.
Ces résultats ont également de soutenir et de renforcer notre recommandation tendant à ce que les personnes touchées par cette chaîne d’approvisionnement de l’attaque ne doit pas simplement supprimer cette version de CCleaner ou la mise à jour vers la dernière version, mais devrait restauration à partir de sauvegardes ou réimager les systèmes pour s’assurer qu’ils ont complètement supprimer non seulement la backdoored version de CCleaner, mais aussi tout autres logiciels malveillants qui peuvent être résident sur le système.
La phase 2 du programme d’installation est GeeSetup_x86.dll. Il vérifie la version du système d’exploitation, et les plantes d’un 32-bit ou 64-bit version du cheval de troie sur le système fondé sur la vérification.
Lire aussi: le Mot de passe d’une Étude d’Utilisation: massif, la réutilisation des mots de passe
La version 32 bits de cheval de troie TSMSISrv.dll, la version 64 bits de cheval de troie EFACli64.dll.
L’Identification De L’Étape 2 Des Charges
L’information suivante permet d’identifier si l’étape 2 de la charge utile a été planté sur le système.
Les Clés De Registre:
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�01
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�02
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�03
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�04
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfRAP
Fichiers:
- GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
- DLL dans la base de Registre: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Étape 2 Charge utile: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83