Un nuovo report di Cisco Talos Gruppo suggerisce che il CCleaner hack è stato più sofisticati di quanto inizialmente pensato. I ricercatori hanno trovato prove di un secondo payload durante la loro analisi del malware che si rivolge a gruppi molto specifici, in base ai domini.
Il 18 settembre 2017 Piriform riferito che la società dell’infrastruttura distribuita dannoso versione del file di software di pulizia CCleaner per circa un mese.
L’infrastruttura è stata compromessa, e gli utenti che hanno scaricato la versione 5.33 di CCleaner dal sito web o usato aggiornamenti automatici da installare, ha avuto la infettato versione sul loro sistema.
Abbiamo parlato di metodi per identificare se un infetto versione è installata sul sistema. Probabilmente il miglior indicatore, oltre al controllo della CCleaner versione, è quello di verificare l’esistenza delle chiavi di Registro in HKLMSOFTWAREPiriformAgomo.
Piriform è affrettato a dichiarare che gli utenti potrebbero risolvere il problema aggiornando il nuovo malware, la versione di CCleaner.
Un nuovo rapporto suggerisce che questo potrebbe non essere sufficiente.
Talos Gruppo ha trovato prove che l’attacco è stato più sofisticati, come si è rivolto a una specifica lista di domini con un secondo payload.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
I ricercatori suggeriscono che l’attaccante è stato dopo di proprietà intellettuale sulla base dell’elenco dei domini che appartengono ad alto profilo tech.
È interessante notare che la matrice specificata contiene Cisco dominio cisco.com), insieme con altri di alto profilo, le aziende di tecnologia. Questo farebbe pensare ad una molto concentrato attore dopo di proprietà intellettuale.
Talos Gruppo ha suggerito di ripristinare il sistema del computer utilizzando un backup creato prima dell’infezione. Le nuove prove rafforza questa, e i ricercatori suggeriscono fortemente che potrebbe non essere sufficiente per il semplice aggiornamento di CCleaner per sbarazzarsi di malware.
Questi risultati, inoltre, sostenere e rafforzare la nostra precedente raccomandazione che le persone colpite da questa catena di approvvigionamento attacco non dovrebbe semplicemente rimuovere la versione interessata di CCleaner o aggiornare all’ultima versione, ma dovrebbe ripristinare da backup o ripristinare i sistemi per garantire che essi rimuovere completamente non solo il backdoored versione di CCleaner, ma anche di qualsiasi altro malware, che possono essere residente nel sistema.
La fase 2 del programma di installazione è GeeSetup_x86.dll. Controlla la versione del sistema operativo, e le piante a 32-bit o 64-bit versione del trojan sul sistema basato sul controllo.
Leggi anche: WhatsApp Sicurezza: rendere questo cambiamento subito!
Il 32-bit trojan è TSMSISrv.dll il 64 bit è trojan EFACli64.dll.
L’Identificazione Di Fase 2 Payload
Le seguenti informazioni, consente di identificare se una fase 2 payload è stato piantato nel sistema.
Chiavi Del Registro Di Sistema:
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�01
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�02
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�03
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�04
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP
File:
- GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
- DLL nel Registro di sistema: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Fase 2 Portata: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83