En ny rapport fra Cisco er Talos Gruppen foreslår at CCleaner hack var mer sofistikert enn opprinnelig trodde. Det har forskere funnet bevis for andre nyttelast under sin analyse av skadelig programvare som målrettet svært spesifikke grupper basert på domener.
18. September 2017 Piriform rapportert at selskapets infrastruktur distribuert en ondsinnet versjon av filen rengjøring programvare CCleaner for om en måned.
Selskapets infrastruktur ble kompromittert, og brukere som har lastet ned versjon 5.33 CCleaner fra nettstedet eller brukt automatiske oppdateringer til å installere den, fikk den infiserte versjonen på deres system.
Vi snakket om metoder for å identifisere hvis en infisert versjon som er installert på systemet. Trolig den beste indikatoren, bortsett fra å sjekke CCleaner versjon, er å sjekke for eksistensen av registernøklene under HKLMSOFTWAREPiriformAgomo.
Piriform var rask til å si at brukere kan løse problemet ved å oppdatere til den nye malware-free-versjonen av CCleaner.
En ny rapport tyder på at dette kan ikke være nok.
Talos Gruppen finnes bevis for at angrepet var mer sofistikerte, som det målrettede en bestemt liste domener med andre nyttelast.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Forskerne foreslår at angriperen var etter immaterielle basert på listen over domener som hører til høy profil tech selskaper.
Det er interessant at tabellen er angitt inneholder Cisco ‘ s domene (cisco.com) sammen med andre high-profile-teknologi selskaper. Dette ville foreslå en meget fokusert skuespiller etter verdifullt åndsverk.
Talos Gruppen foreslo å gjenopprette systemet ved hjelp av en sikkerhetskopi som ble opprettet før infeksjon. Den nye bevis som underbygger dette, og forskerne antyder sterkt at det kan ikke være nok å bare oppdatere CCleaner for å bli kvitt malware.
Disse funnene også støtte og forsterke vår tidligere anbefaling om at de som berøres av denne verdikjeden angrep bør ikke bare å fjerne de berørte versjon av CCleaner eller oppdatere til den nyeste versjonen, men skal gjenopprette fra sikkerhetskopier eller reimage systemer for å sikre at de fjerne ikke bare backdoored versjon av CCleaner, men også andre malware som kan være bosatt på systemet.
Trinn 2 installer GeeSetup_x86.dll. Det sjekker hvilken versjon av operativsystemet, og planter, og en 32-biters eller 64-biters versjon av trojanske på system basert på sjekk.
Les også: Internett Sikkerhet: legge til rel=noopener å eksterne lenker
Den 32-biters trojan er TSMSISrv.dll 64-biters trojan er EFACli64.dll.
Å Identifisere Fase 2 Nyttelaster
Følgende informasjon bidrar til å identifisere om en scene 2 nyttelast har blitt plantet på systemet.
Registernøkler:
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�01
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�02
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�03
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf�04
- HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP
Filer:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
- DLL-filen i Registret: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Fase 2 Nyttelast: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83