En ny rapport från Cisco Talos Gruppen föreslår att CCleaner hack var mer sofistikerade än vad man ursprungligen trott. Forskarna har hittat bevis för en andra bomb under sin analys av skadlig kod, som riktade mycket specifika grupper baserat på domäner.
Den 18 September 2017 Piriform rapporterade att bolagets infrastruktur distribueras en skadlig version av filen rengöring programvara CCleaner för cirka en månad.
Företagets infrastruktur var nedsatt, och användare som har hämtat versionen 5.33 av CCleaner från webbplatsen eller som används för automatiska uppdateringar att installera det, fick den infekterade version på deras system.
Vi pratade om metoder för att identifiera om en infekterad version som är installerad på systemet. Förmodligen den bästa indikatorn, bortsett från att kontrollera CCleaner ‘ s version, är att kontrollera förekomsten av registernycklar under HKLMSOFTWAREPiriformAgomo.
Piriform var snabb att konstatera att användare kan lösa problemet genom att uppdatera till den nya malware-fri version av CCleaner.
En ny rapport visar att detta inte kan vara tillräckligt.
Talos Gruppen funnit bevis för att attacken var mer sofistikerad, eftersom det var riktat mot en specifik lista på domäner med en andra bomb.
- singtel.corp.rot
- htcgroup.corp
- samsung-breda
- samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Forskarna föreslår att angriparen var efter immateriella rättigheter som grundar sig på listan över domäner som hör till high profile tech företag.
Intressant utbud som anges innehåller Cisco domän (cisco.com tillsammans med andra hög-profil-teknik för företag. Detta tyder på en mycket fokuserad aktör efter värdefull immateriell egendom.
Talos Grupp föreslog att återställa datorn med hjälp av en säkerhetskopia som skapades före infektionen. Den nya bevisning som stärker det, och forskarna föreslår starkt att det kan inte vara tillräckligt för att helt enkelt uppdatera CCleaner för att bli av med malware.
Dessa resultat också stödja och förstärka vår tidigare rekommendation om att de påverkas av detta supply chain attack bör man inte bara ta bort den drabbade versionen av CCleaner eller uppdatera till den senaste versionen, men bör återställa från backuper eller reimage system för att säkerställa att de helt ta bort inte bara backdoored versionen av CCleaner men även andra skadliga program som kan vara bosatt på systemet.
Scen 2 installer GeeSetup_x86.dll. Den kontrollerar versionen av operativsystemet, och växter som en 32-bitars eller 64-bitars version av trojan på det system som bygger på kontrollera.
Läs också: Pwn2Own 2017: Windows, Ubuntu, Edge, Safari, Firefox utnyttjas
Den 32-bitars trojan TSMSISrv.dll 64-bitars trojan EFACli64.dll.
Identifiera Etapp 2 Nyttolaster
Följande information hjälper till att identifiera om en steg 2 nyttolast har planterats på systemet.
Registernycklar:
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�01
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�02
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�03
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�04
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP
Filer:
- GeeSetup_x86.dl (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
- DLL i Registret: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Steg 2 Nyttolast: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83