系统清理工具CCleaner被植入后门,上百万用户或受感染首席安全官频道

概述

2017年9月18日,首席安全官频道有情报披露,著名的系统优化工具CCleaner的某个版本被发现植入后门,大量使用该工具的用户恐将面临泄密风险。这是继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。  

CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。被植入后门的版本为8月15日上线的5.33版本。  

目前我们发现部分国内下载站点仍在分发存在后门的版本。金睛安全研究团队在此提醒广大使用该工具的用户,及时卸载有问题的版本,避免隐私泄露的风险。

影响版本

CCleaner  5.33.6162

事件分析 

出现问题的版本是在 2017 年 8 月 15 日发布的,直到9月11日才从官方服务器上移除。由于该版本使用了有效的数字签名,因此截止到目前为止大多数安全厂商仍无法检测。

 

图片2.png

图片2.png

图片3.png


图片3.png


CCleaner总共拥有20亿次下载量,且每周的下载量超过500万,从发布日期到移除日期,可以估算该版本已经有将近2000万次数的下载量,这意味着有大量用户可能已经受到感染。  

后门代码分析  

1、在存在问题版本软件的0x0082E0A8偏移处存放着加密的shellcode。

 

图片.png

图片.png

2、首先通过如下代码进行解密shellcode。

图片.png

图片.png

3、shellcode执行后,加载需要使用的动态库,获取需要用到的函数地址。动态库名称及函数名称都做了加密处理。

图片.png


图片.png


4、启动一个线程执行主要操作。线程启动时,首先尝试ping224.0.0.0,并设置超时601秒,之后检测经过的时长是否大于等于600秒。如果小于则自动退出。如果无法执行Ping操作,则使用sleep函数执行上述相同操作。

图片.png

图片.png

图片.png

 

图片.png

 

5、如果上述时间检查都通过,则进入以下流程。检查是否有管理员权限,如果没有则提升至Debug权限。

图片.png

图片.png

6、解密C&C服务器IP。

图片.png

图片.png

7、根据DGA域名算法随机生成随机域名。

图片.png

图片.png

DGA域名和时间对应关系如下:

时间 使用的DGA域名
2017年2月 ab6d54340c1a.com
2017年3月 aba9a949bc1d.com
2017年4月 ab2da3d400c20.com
2017年5月 ab3520430c23.com
2017年6月 ab1c403220c27.com
2017年7月 ab1abad1d0c2a.com
2017年8月 ab8cee60c2d.com
2017年9月 ab1145b758c30.com
2017年10月 ab890e964c34.com
2017年11月 ab3d685a0c37.com
2017年12月 ab70a139cc3a.com

8、获取计算机名称,MAC地址,系统版本信息,软件安装信息,进程信息等并填入下列结构中。

偏移地址 字段含义
0×00 InstallID
0×04 操作系统主版本
0×05 子系统版本
0×06 是否为64位
0×07 默认为0
0×08 计算机名称
0×48 计算机域的DNS信息
0×88 MAC地址
0xA0 安装程序信息(以标志位0×53开头),正在运行的进程信息(以标志位0×50开头)

对应发送的数据如下: 

图片.png


图片.png


图片.png

图片.png


图片.png


图片.png

然后将以上信息经过两次加密发送给C&C服务器216.126.225.148 

第一次加密:

图片.png


图片.png


第二次加密(经过修改的Base64算法):

图片.png

图片.png

最后将上述加密后的数据发送给C&C服务器

图片.png

图片.png

如果上述IP地址不可达,则将上述信息发送给DGA域名。  

下列为已知暴露在外网当中的带有后门的版本

文件名 MD5 文件大小
ccsetup533.exe 75735db7291a19329190757437bdb847 9563KB
d488e4b61c233293bec2ee09553d3a2f 7600KB
ef694b89ad7addb9a16bb6f26f1efaf7 7501KB

IOC信息:

C&C服务器
ab6d54340c1a.com
aba9a949bc1d.com
ab2da3d400c20.com
ab3520430c23.com
ab1c403220c27.com
ab1abad1d0c2a.com
ab8cee60c2d.com
ab1145b758c30.com
ab890e964c34.com
ab3d685a0c37.com
ab70a139cc3a.com
C&C服务器
216.126.225.148

解决方案  

及时卸载有问题的5.33版本,并去官网下载最新5.34版本(下载地址)  

*本文作者:金睛,转载请注明来自 FreeBuf.COM

2017-09-19 06:16 阅读:554