<input id="eiiko"></input>
<menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • Avast发布CCleaner APT事件调查新进展

    2018-05-03 518474人围观 ,发现 1 个不明物体 安全报告

    在?#23433;?#20037;的 RSA2018 大会上,Avast 的安全研究员分享了其团队在 CCleaner APT(高级持续威胁)调查过程中的新发现。结果显示,攻击者通过 TeamViewer 进入 Piriform 网络,并在 Avast ?#23637;?Piriform 之后,感染了 CCleaner。调查过程中,Avast 还发现活跃在韩国?#25237;?#32599;斯的 ShadowPad 样本涉及到金融交易。

    Avast 发布 CCleaner APT 事件调查新进展

    事件回顾

    2017 年 9 月,攻击者将 CCleaner 锁定为新目标,通过 CCleaner 安装文件发布恶意软件。 全球 227 万名 CCleaner 客户都下载了修改后的恶意安装文件。此后,Avast 的威胁情报团队一?#22791;?#36394;调查事件进展。

    至今,研究人员的调查取得了长足进展。他们发现攻击者渗入 Piriform 网络的方法,并得知恶意程序在雷达检测下保持活跃的策略。此外,为了将 CCleaner 与其他攻击进行?#21592;齲?#30740;究人员还分析了老版本的 ShadowPad,因为 ShadowPad 这个网络攻击平台在四台 Piriform 电脑上都出现过。调查显示,韩国?#25237;?#32599;斯都曾出现过 ShadowPad 的身影,攻击者借此入侵计算机并窥?#20132;?#27454;流程。

    CCleaner攻击:攻击者进入 Piriform 网络的过程

    为了发起 CCleaner 攻击,攻击者首先在 2017 年 3 月 11 日(Avast ?#23637;?Piriform 的四个月前)访问 Piriform 的网络,在开发人员工作站上使用 TeamViewer 渗透网络。他们仅仅登录一次就成功获得访问权限,这意味着他们提前获知了登录凭据。虽然尚不清楚攻击者获得证书的途径,但根据推测,攻击者使用了用户用于登录其他服务且可能已经泄露的 Piriform 工作站凭证去访问 TeamViewer 帐户。

    根据日志文件,攻击者在当地时间凌晨 5 点访问了 TeamViewer,当时 PC 正在运行但无人看管。攻击者试图安装两个恶意 DLL,但由于没有系统管理权限,安?#23433;?#26410;成功。在第三次尝试中,攻击者使用 VBScript(Microsoft开发的脚本语言)成功删除了?#34892;?#36127;载。

    攻击者入侵第一台电脑的方式

    图 1    攻击者入侵第一台电脑的方式

    到 2017 年 3 月 12 日,攻击者通过网络横向进入第二台电脑,再次针对工作时间(当地时间凌晨 4 点)以外无人看管的计算机发起攻击,向计算机的注册表传递二进制和?#34892;?#36733;荷。传递的?#34892;?#36127;载是第二阶段恶意软件的旧版本,当?#24065;?#32463;发?#36879;?40 位 CCleaner 用户。

    3 月 12 日转?#39057;?#31532;二台电脑中

    图 2   3 月 12 日转?#39057;?#31532;二台电脑中

    两天后,攻击者又回到了第一台计算机,同时在计算机中加载了第二阶段的恶意软件。

    在第一台计算机中加载第二阶段的恶意软件

    图 3   在第一台计算机中加载第二阶段的恶意软件

    经过几周的潜伏之后,下一阶段的?#34892;?#36733;荷被传送到第一台受感染的计算机。研究人员认为攻击者在潜伏期间准备了恶意二进制文件,他们利用多种技术渗透内部网络中的其他计算机。他们的手段包括使用按键记录器收集的密码、利用管理权限通过 Windows 远程桌面应用程序登录?#21462;Cleaner 攻击的第三阶?#38382;?#21152;载臭名昭著的 ShadowPad ?#34892;?#36733;荷,它作为一个 mscoree.dll 库传递到 Piriform 网络中的四台计算机,其中包含一个构建服务器,伪装成 .NET 运行库躲避关注。这个存储在磁盘上的库有一个时间戳,时间戳显示,研究人员发现的 ShadowPad 版本是在 2017 年 4 月 4 日编译的,也就是其安装到 Piriform 电脑上的前 8 天。这意味着,攻击者为了攻击而专门制作了这个版本。

    攻击者在 Piriform 网络中一共潜伏了五个月,最后才将恶意?#34892;?#36127;载隐藏到 CCleaner 版本中。Avast 在 2017 年 7 月 18 日?#23637;?Piriform 之后,攻击者在 2017 年 8 月 2 日发布了第一款 CCleaner 版本的恶意负载。有趣的是,攻击者花了很长时间才开?#32423;?CCleaner 用户发起攻击。

    ShadowPad 在韩国?#25237;?#32599;斯也很活跃

    在分析来自 Piriform 网络的 ShadowPad 可执行文件后,研究人员试图在 VirusTotal 上查找类似的文件,并?#19994;?#20102;两个样本,一个出现在韩国,另一个出现在俄罗斯。

    从韩国上传到 VirusTotal 的样本上传时间是 2017 年 12 月 27 日。该样本用于与韩国建国大学的 CnC 服务器进行通信,很可能存在于一台被入侵的电脑中。根据样本的上传方式和信息可以判断,将其上传到 VirusTotal 的是单个用户,并非安全公司。

    解密的病毒配置显示攻击中使用的 IP 地址; 图片来源:Avast

    图 4   解密的病毒配置显示攻击中使用的 IP 地址; 图片来源:Avast

    来自因特网搜索引擎 Shodan.io 的图像,显示 CnC 服务器 IP 地址上可用的服务; 图片来源:Shodan

    图 5   来自因特网搜索引擎 Shodan.io 的图像,显示 CnC 服务器 IP 地址上可用的服务; 图片来源:Shodan

    研究人员在 VirusTotal 上?#19994;?#30340;第二个 ShadowPad 可执行文件主要针对俄罗斯的一台计算机,该计算机由一个参与公共预算分配的组织运营。其中一份上传的文件带有文件名,第二份提交文件上传到了来自中国的 VirusTotal。第一份文件于 2017 年 11 月 3 日提交,第二份文件于 2017 年 11 月 6 日提交。

    第二次提交的内容里有一个 7ZIP 文件夹,包含之前提交的内容,以及来自键盘记录模块的加密日志。研究人员解密了日志文件并在各种进程中?#19994;?#20102;按键,例如来自 Microsoft Word、Firefox、Windows 资源管理器和 КриптоПроCSP(CryptoPro CSP)。其中最有意思的是 Firefox 用户完成金融交易的日志,还有一份公开记录的合同,以?#23433;?#19982;这些流程的员工的姓名。

    通过分析俄罗斯的 ShadowPad 样本,研究人员得出了一个特别的结论:ShadowPad 并不总是模块化的。这个版本中,所有模块都捆绑在一个可执行文件中,而不是单独存储在 Windows 注册表中,就像用于 Piriform 攻击的版本一样。捆绑版本有助于研究人员更深入、更全面地了解攻击者编程的模块。分析结果显示,攻击者甚至懒?#23186;?#20854;中一些模块下载到 Piriform 网络;而在俄罗斯 ShadowPad 攻击中使用的插件只有三个被用在 Piriform 攻击中。

    七.png

    图 6   俄罗斯攻击中使用的 ShadowPad 模块

    俄罗斯攻击中使用的时间最久的恶意可执行文件是在 2014 年建立的,这意味着它背后的组织可能连续多年在从事的间谍活动。研究人员在密钥记录器中?#19994;?#30340;具体付款信息属于公开的记录,但攻击者很有可能也访问了敏感信息。

    网络安全应当成为并购尽职调查的核心部分

    韩国?#25237;?#32599;斯的 ShadowPad 攻击案例表明,ShadowPad 已经活跃了很长时间,它能够透彻地监视机?#36141;?#32452;织,这不能不令人生畏。

    回到 CCleaner 事件,高达 227 万名 CCleaner 个人用户和企业用户下载了受感染的 CCleaner 产品。然后攻击者仅仅使用 40 台由高科技电信公司运营的个人计算机就能安装第二阶段的恶意 payload。不过,暂时没有证据表明 ShadowPad 的第三阶段 payload 通过 CCleaner 分发给 40 台计算机。

    Avast 认为,CCleaner 攻击带来的警示主要有两点。 首先,并购尽职调查不能只局限于法律和财务问题,公司还要高度关注网络安全。对于 Avast ?#27492;擔?#32593;络安全已成为其?#23637;?#36807;程中关注的重要一环。 其次,供应链安全目前还不是企业的关键优先事项,但企业需要尽力改变这一现状。因为攻击者会将供应链作为目标,从中?#19994;?#26368;薄弱的?#26041;?#19979;手。如果一个产品有数百万的用户,那么这个产品就会成为诱人的目标。因此,公司需要增加对供应链安全的关注和投资。

    *参考来源:Avast Blog,AngelaY 编译整理,转载请注明来自 FreeBuf.COM。

    这些评论亮了

    • softbug (7级) i am here! 回复
      赶快卸载ccleaner了,本来就是国外的软件。 还是用360和腾讯管家吧 。
      )19( 亮了
    发表评论

    已有 1 条评论

    取消
    Loading...
  • 3月

    四月去挖洞,五月出国游
    进行中
  • 3月 成都

    漏洞盒子高校V?#33529;?成都站
    已结束
  • css.php 天津11选5开奖
    <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>