CCleaner Malware Malware payload thứ hai được phát hiện
- Thể LoạI: Bảo Vệ
Một báo cáo mới của Tập đoàn Talos của Cisco gợi ý rằng vụ hack CCleaner phức tạp hơn những gì bạn nghĩ ban đầu. Các nhà nghiên cứu đã tìm thấy bằng chứng về đợt tải trọng thứ hai trong quá trình phân tích phần mềm độc hại nhắm mục tiêu vào các nhóm rất cụ thể dựa trên các miền.
Vào ngày 18 tháng 9 năm 2017 Piriform báo cáo rằng cơ sở hạ tầng của công ty đã phân phối phiên bản độc hại của phần mềm dọn dẹp tệp CCleaner trong khoảng một tháng.
Cơ sở hạ tầng của công ty đã bị xâm phạm và những người dùng đã tải xuống phiên bản 5.33 của CCleaner từ trang web hoặc sử dụng các bản cập nhật tự động để cài đặt nó, đã có phiên bản bị nhiễm trên hệ thống của họ.
Chúng tôi đã nói về các phương pháp xác định xem phiên bản bị nhiễm có được cài đặt trên hệ thống hay không. Có lẽ chỉ báo tốt nhất, ngoài việc kiểm tra phiên bản CCleaner, là kiểm tra sự tồn tại của các khóa Đăng ký trong HKLM SOFTWARE Piriform Agomo.
Piriform đã nhanh chóng thông báo rằng người dùng có thể giải quyết vấn đề bằng cách cập nhật lên phiên bản CCleaner không có phần mềm độc hại .
Một báo cáo mới cho thấy rằng điều này có thể là không đủ.
Talos Group đã tìm thấy bằng chứng cho thấy cuộc tấn công tinh vi hơn, vì nó nhắm mục tiêu vào danh sách tên miền cụ thể có trọng tải thứ hai.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- Samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Các nhà nghiên cứu cho rằng kẻ tấn công đang truy tìm quyền sở hữu trí tuệ dựa trên danh sách tên miền thuộc về các công ty công nghệ cao.
Điều thú vị là mảng được chỉ định có chứa miền của Cisco (cisco.com) cùng với các công ty công nghệ nổi tiếng khác. Điều này sẽ gợi ý một tác nhân rất tập trung sau tài sản trí tuệ có giá trị.
Talos Group đề xuất khôi phục hệ thống máy tính bằng cách sử dụng bản sao lưu đã được tạo trước khi bị lây nhiễm. Bằng chứng mới củng cố điều này và các nhà nghiên cứu cho rằng chỉ cần cập nhật CCleaner để loại bỏ phần mềm độc hại là không đủ.
Những phát hiện này cũng hỗ trợ và củng cố khuyến nghị trước đây của chúng tôi rằng những người bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng này không nên chỉ xóa phiên bản CCleaner bị ảnh hưởng hoặc cập nhật lên phiên bản mới nhất, mà nên khôi phục từ các bản sao lưu hoặc hệ thống hình ảnh lại để đảm bảo rằng chúng hoàn toàn xóa không chỉ phiên bản backdoored của CCleaner nhưng cũng như bất kỳ phần mềm độc hại nào khác có thể thường trú trên hệ thống.
Trình cài đặt giai đoạn 2 là GeeSetup_x86.dll. Nó kiểm tra phiên bản của hệ điều hành và cài đặt phiên bản 32-bit hoặc 64-bit của trojan trên hệ thống dựa trên việc kiểm tra.
Trojan 32-bit là TSMSISrv.dll, trojan 64-bit là EFACli64.dll.
Xác định tải trọng Giai đoạn 2
Thông tin sau đây giúp xác định xem trọng tải giai đoạn 2 đã được đưa vào hệ thống hay chưa.
Khóa đăng ký:
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP
Các tập tin:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Băm: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Băm: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL trong Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Tải trọng giai đoạn 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83