系统清理工具CCleaner被植入后门,上百万用户或受感染

发表于:2017-09-19 14:24:14 来源:  FreeBuf.COM 阅读数(0人)

概述


2017年9月18日,有情报披露,著名的系统优化工具CCleaner的某个版本被发现植入后门,大量使用该工具的用户恐将面临泄密风险。这是继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。  


CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。被植入后门的版本为8月15日上线的5.33版本。  


目前我们发现部分国内下载站点仍在分发存在后门的版本。金睛安全研究团队在此提醒广大使用该工具的用户,及时卸载有问题的版本,避免隐私泄露的风险。


影响版本


CCleaner 5.33.6162


事件分析 


出现问题的版本是在 2017 年 8 月 15 日发布的,直到9月11日才从官方服务器上移除。由于该版本使用了有效的数字签名,因此截止到目前为止大多数安全厂商仍无法检测。






CCleaner总共拥有20亿次下载量,且每周的下载量超过500万,从发布日期到移除日期,可以估算该版本已经有将近2000万次数的下载量,这意味着有大量用户可能已经受到感染。


后门代码分析  


1、在存在问题版本软件的0x0082E0A8偏移处存放着加密的shellcode。




2、首先通过如下代码进行解密shellcode。




3、shellcode执行后,加载需要使用的动态库,获取需要用到的函数地址。动态库名称及函数名称都做了加密处理。




4、启动一个线程执行主要操作。线程启动时,首先尝试ping224.0.0.0,并设置超时601秒,之后检测经过的时长是否大于等于600秒。如果小于则自动退出。如果无法执行Ping操作,则使用sleep函数执行上述相同操作。






5、如果上述时间检查都通过,则进入以下流程。检查是否有管理员权限,如果没有则提升至Debug权限。




6、解密C&C服务器IP。




7、根据DGA域名算法随机生成随机域名。




DGA域名和时间对应关系如下:


时间 使用的DGA域名
2017年2月 ab6d54340c1a.com
2017年3月 aba9a949bc1d.com
2017年4月 ab2da3d400c20.com
2017年5月 ab3520430c23.com
2017年6月 ab1c403220c27.com
2017年7月 ab1abad1d0c2a.com
2017年8月 ab8cee60c2d.com
2017年9月 ab1145b758c30.com
2017年10月 ab890e964c34.com
2017年11月 ab3d685a0c37.com
2017年12月 ab70a139cc3a.com

8、获取计算机名称,MAC地址,系统版本信息,软件安装信息,进程信息等并填入下列结构中。


偏移地址 字段含义
0×00 InstallID
0×04 操作系统主版本
0×05 子系统版本
0×06 是否为64位
0×07 默认为0
0×08 计算机名称
0×48 计算机域的DNS信息
0×88 MAC地址
0xA0 安装程序信息(以标志位0×53开头),正在运行的进程信息(以标志位0×50开头)

对应发送的数据如下:








然后将以上信息经过两次加密发送给C&C服务器216.126.225.148


第一次加密:




第二次加密(经过修改的Base64算法):




最后将上述加密后的数据发送给C&C服务器




如果上述IP地址不可达,则将上述信息发送给DGA域名。


下列为已知暴露在外网当中的带有后门的版本


文件名 MD5 文件大小
ccsetup533.exe 75735db7291a19329190757437bdb847 9563KB
d488e4b61c233293bec2ee09553d3a2f 7600KB
ef694b89ad7addb9a16bb6f26f1efaf7 7501KB

IOC信息:


C&C服务器
ab6d54340c1a.com
aba9a949bc1d.com
ab2da3d400c20.com
ab3520430c23.com
ab1c403220c27.com
ab1abad1d0c2a.com
ab8cee60c2d.com
ab1145b758c30.com
ab890e964c34.com
ab3d685a0c37.com
ab70a139cc3a.com
C&C服务器
216.126.225.148

解决方案  


及时卸载有问题的5.33版本,并去官网下载最新5.34版本(下载地址)  


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全基础