CCleaner Malware secondo payload scoperto
- Categoria: Sicurezza
Un nuovo report di Talos Group di Cisco suggerisce che l'hack CCleaner era più sofisticato di quanto inizialmente pensato. I ricercatori hanno trovato prove di un secondo payload durante la loro analisi del malware che prendeva di mira gruppi molto specifici in base ai domini.
Il 18 settembre 2017 Segnalato Piriform che l'infrastruttura dell'azienda ha distribuito una versione dannosa del software di pulizia dei file CCleaner per circa un mese.
L'infrastruttura dell'azienda è stata compromessa e gli utenti che hanno scaricato la versione 5.33 di CCleaner dal sito Web o hanno utilizzato aggiornamenti automatici per installarla, hanno ottenuto la versione infetta sul proprio sistema.
Abbiamo parlato di metodi per identificare se una versione infetta è installata sul sistema. Probabilmente il miglior indicatore, oltre a controllare la versione di CCleaner, è verificare l'esistenza di chiavi di registro in HKLM SOFTWARE Piriform Agomo.
Piriform si è affrettato ad affermare che gli utenti potrebbero risolvere il problema aggiornando al nuovo versione priva di malware di CCleaner .
Un nuovo rapporto suggerisce che questo potrebbe non essere sufficiente.
Talos Group ha trovato prove che l'attacco era più sofisticato, poiché mirava a un elenco specifico di domini con un secondo payload.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- Samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- Linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
I ricercatori suggeriscono che l'aggressore stesse cercando la proprietà intellettuale sulla base dell'elenco di domini che appartengono a società tecnologiche di alto profilo.
È interessante notare che l'array specificato contiene il dominio di Cisco (cisco.com) insieme ad altre società tecnologiche di alto profilo. Ciò suggerirebbe un attore molto concentrato dopo una preziosa proprietà intellettuale.
Talos Group ha suggerito di ripristinare il sistema del computer utilizzando un backup creato prima dell'infezione. Le nuove prove lo rafforzano ei ricercatori suggeriscono fortemente che potrebbe non essere sufficiente aggiornare semplicemente CCleaner per sbarazzarsi del malware.
Questi risultati supportano e rafforzano anche la nostra precedente raccomandazione secondo cui coloro che sono stati colpiti da questo attacco alla catena di fornitura non dovrebbero semplicemente rimuovere la versione interessata di CCleaner o aggiornarsi all'ultima versione, ma dovrebbero ripristinare dai backup o dai sistemi di reimage per garantire che rimuovano completamente non solo il versione backdoor di CCleaner ma anche qualsiasi altro malware che potrebbe essere residente nel sistema.
Il programma di installazione della fase 2 è GeeSetup_x86.dll. Controlla la versione del sistema operativo e installa una versione a 32 o 64 bit del trojan sul sistema in base al controllo.
Il trojan a 32 bit è TSMSISrv.dll, il trojan a 64 bit è EFACli64.dll.
Identificazione dei carichi utili della fase 2
Le seguenti informazioni aiutano a identificare se un carico utile della fase 2 è stato piantato nel sistema.
Chiavi di registro:
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP
File:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL nel registro: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Carico utile fase 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83