CCleaner Malware tweede lading ontdekt

0
217

Een nieuw rapport van Cisco ‘ s Talos Groep suggereert dat de CCleaner hack was geavanceerder dan in eerste instantie gedacht. De onderzoekers hebben bewijs gevonden van een tweede lading tijdens hun analyse van de malware die gericht zeer specifieke groepen op basis van domeinen.

Op 18 September 2017 Piriform gemeld dat de infrastructuur van het bedrijf verspreid een kwaadaardige versie van het bestand reinigen software CCleaner voor ongeveer een maand.

De infrastructuur van het bedrijf was ingebroken, en de gebruikers die zijn gedownload versie 5.33 van CCleaner van de website of gebruikt automatische updates te installeren, kreeg de geïnfecteerde versie op hun systeem.

We spraken over methoden om vast te stellen of een geïnfecteerde versie is geïnstalleerd op het systeem. Waarschijnlijk de beste indicator, naast het controleren van CCleaner is versie, is om te controleren voor het bestaan van de Register-sleutels onder HKLMSOFTWAREPiriformAgomo.

ccleaner 2nd payload

Piriform was er snel bij om te vermelden dat gebruikers kunnen het probleem oplossen door bij te werken naar de nieuwe malware-vrije versie van CCleaner.

Een nieuw rapport stelt dat dit niet genoeg is.

Talos Groep bewijs gevonden dat de aanval werd meer verfijnde, als het gericht op een specifieke lijst van domeinen met een tweede lading.

  • singtel.corp.wortel
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

De onderzoekers suggereren dat de aanvaller was na intellectuele eigendom op basis van de lijst van domeinen die behoren tot high profile tech bedrijven.

Interessant is dat de matrix opgegeven bevat Cisco ‘ s domein (cisco.com samen met andere high-profile-technologie bedrijven. Dit zou wijzen op een zeer gericht acteur na waardevolle intellectuele eigendom.

Talos Groep voorgesteld om de computer te herstellen systeem met behulp van een back-up is gemaakt voorafgaand aan de infectie. Het nieuwe bewijs versterkt dit, en de onderzoekers suggereren sterk dat het niet voldoende is om alleen de update van CCleaner om zich te ontdoen van de malware.

Deze bevindingen ook het ondersteunen en versterken van onze eerdere aanbeveling dat die beïnvloed door deze supply chain aanval niet gewoon verwijderen van de aangetaste versie van CCleaner of update naar de laatste versie, maar moet herstellen van back-ups of het optimaliseren van systemen om ervoor te zorgen dat ze volledig te verwijderen van niet alleen de backdoored versie van CCleaner, maar ook andere malware die kunnen worden woonachtig te zijn op het systeem.

De stage 2 installer is GeeSetup_x86.dll. Het controleert de versie van het besturingssysteem, en het planten van een 32-bits of 64-bits versie van de trojan op het systeem op basis van de check.

Lees ook: Wachtwoord Gebruiken Studie: massief hergebruik van wachtwoorden

De 32-bits trojan is TSMSISrv.dll de 64-bit-trojan EFACli64.dll.

Het Identificeren Van Fase 2 Payloads

De volgende informatie helpt identificeren als een fase 2 payload heeft geplant op het systeem.

Registersleutels:

  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf01
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf02
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf03
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf04
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP

Bestanden:

  • GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
  • DLL-bestand in het Register: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Fase 2 Laadvermogen: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83