Einem neuen Bericht von Cisco Talos-Gruppe schlägt vor, dass der CCleaner hack war anspruchsvoller als ursprünglich gedacht. Die Forscher fanden Hinweise auf eine zweite Nutzlast, die während der Analyse der malware, die gezielt ganz bestimmte Gruppen auf der Basis von Domänen.
Am September 18, 2017 Piriform berichtet, dass die Infrastruktur des Unternehmens verteilt eine schädliche version des Datei-Reinigung-software CCleaner für etwa einen Monat.
Die Infrastruktur des Unternehmens war gefährdet, und Benutzer, die Download-version 5.33 des CCleaner von der Webseite oder benutzt automatische updates, um es zu installieren, hab die infizierte version auf Ihrem system.
Wir Sprachen über Methoden zu identifizieren, wenn eine infizierte version auf dem system installiert ist. Wahrscheinlich der beste Indikator, abgesehen von der überprüfung CCleaner-version, ist zu prüfen, für die Existenz des Registry-keys unter HKLMSOFTWAREPiriformAgomo.
Piriform war schnell feststellen, dass die Nutzer konnten das Problem durch die Aktualisierung auf die neue malware-freie version von CCleaner.
Ein neuer Bericht deutet darauf hin, dass dies möglicherweise nicht genug sein.
Talos-Gruppe Beweise gefunden, dass der Angriff war anspruchsvoller, als es gezielt eine bestimmte Liste von domains, mit einer zweiten Nutzlast.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Die Forscher vermuten, dass die Angreifer wurde nach geistigem Eigentum auf der Grundlage der Liste der Domänen, die gehören zu high-profile-tech-Unternehmen.
Interessanterweise ist das array angegeben, enthält das Cisco-Domäne (cisco.com zusammen mit den anderen high-profile-Tech-Unternehmen. Dies würde vorschlagen, eine sehr konzentrierte Schauspieler nach wertvollem geistigen Eigentum.
Talos-Gruppe vorgeschlagen, die Wiederherstellung der computer-system über eine Sicherung, die erstellt wurde vor der Infektion. Die neuen Erkenntnisse verstärken dies, und die Forscher vermuten stark, dass es möglicherweise nicht genug, um einfach aktualisieren Sie CCleaner, um loszuwerden, der malware.
Diese Befunde unterstützen und verstärken unsere bisherige Empfehlung, dass die betroffenen durch dieses supply-chain-attack sollte nicht einfach entfernen, die betroffene version von CCleaner oder update auf die neueste version, aber sollte die Wiederherstellung von backups oder reimage-Systeme, um sicherzustellen, dass Sie vollständig zu entfernen, nicht nur die backdoored version von CCleaner, aber auch jegliche andere malware, die möglicherweise in das system.
Die Phase-2-installer GeeSetup_x86.dll. Es überprüft die version des Betriebssystems, und Pflanzen, die eine 32-bit-oder 64-bit version des Trojaners auf dem system basiert auf der Kontrolle.
Lesen Sie auch: Avira Prime: der erste Blick auf die Avira-der neue premium-service
Die 32-bit-Trojaner TSMSISrv.dll die 64-bit-Trojaner EFACli64.dll.
Identifizierung Der Phase-2-Nutzlasten
Die folgenden Informationen helfen zu identifizieren, wenn ein Phase-2-Nutzlast wurde gepflanzt auf dem system.
Registry-Schlüssel:
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�01
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�02
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�03
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�04
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP
Dateien:
- GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Stufe 2 Nutzlast: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83