CCleaner Malware anden nyttelast opdaget

0
174

En ny rapport fra Cisco ‘ s Talos Gruppen foreslår, at CCleaner hack var mere sofistikeret end oprindeligt tænkt. Forskerne fundet beviser på en anden nyttelast i deres analyse af den malware, som meget målrettet specifikke grupper baseret på domæner.

På September 18, 2017 Piriform rapporterede, at virksomhedens infrastruktur distribueret en ondsindet version af filen rengøring software CCleaner for omkring en måned.

Virksomhedens infrastruktur blev kompromitteret, og brugere, der har downloadet version 5.33 af CCleaner fra hjemmesiden eller bruges automatiske opdateringer til at installere den, fik den inficerede version på deres system.

Vi talte om metoder til at identificere, hvis en inficeret version der er installeret på systemet. Nok den bedste indikator, bortset fra at tjekke CCleaner ‘ s version, er at kontrollere for tilstedeværelsen af nøgler i Registreringsdatabasen under HKLMSOFTWAREPiriformAgomo.

ccleaner 2nd payload

Piriform var hurtig til at erklære, at brugerne kan løse problemet ved at opdatere til den nye malware-fri version af CCleaner.

En ny rapport foreslår, at dette måske ikke være nok.

Talos Gruppe fundet beviser for, at angrebet var mere avancerede, så det er målrettet en specifik liste af domæner med en anden nyttelast.

  • singtel.corp.rod
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.kom.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Forskerne foreslår, at angriberen var efter den intellektuelle ejendomsret, der er baseret på listen over domæner, der hører til høj profil tech virksomheder.

Interessant array angivet, indeholder Cisco ‘ s domæne (cisco.com sammen med andre højt profilerede it-firmaer. Dette tyder på en meget fokuseret skuespiller efter værdifulde intellektuelle ejendomsrettigheder.

Talos Gruppen foreslog, at genoprette det edb-system ved hjælp af en sikkerhedskopi, der blev oprettet før infektionen. Den nye beviser, der underbygger dette, og forskerne tyder stærkt på, at det kan ikke være nok blot at opdatere CCleaner til at slippe af med malware.

Disse resultater også støtte og styrke vores tidligere anbefaling om, at dem, der er ramt af dette supply chain angreb ikke blot fjerne de berørte version af CCleaner eller opdatere til den nyeste version, men skal gendanne fra sikkerhedskopier, eller reimage systemer til at sikre, at de fuldstændig ikke kun fjerne den backdoored version af CCleaner, men også enhver anden malware, der kan være bosiddende på systemet.

Fase 2 installer GeeSetup_x86.dll. Det kontrollerer, hvilken version af operativsystemet, og planter en 32-bit eller 64-bit version af trojan på systemet er baseret på check.

Læs også: KeePass revision: ingen kritiske sikkerhedshuller fundet

32-bit trojan er TSMSISrv.dll den 64-bit trojan er EFACli64.dll.

Identifikation Af Fase 2 Nyttelast

Følgende oplysninger hjælper med at identificere, hvis en fase 2 nyttelast er blevet plantet på systemet.

Nøgler I Registreringsdatabasen:

  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf01
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf02
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf03
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf04
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP

Filer:

  • GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
  • DLL-fil i Registreringsdatabasen: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Fase 2 Nyttelast: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83