CCleaner, один из самых популярных системных инструментов в Windows, был подтвержден как скомпрометированный в начале этого месяца, в результате чего до 3% пользователей CCleaner, примерно 2 миллиона, использовали/использовали две скомпрометированные версии CCleaner. на своих компьютерах с Windows. Если вы используете CCleaner, чтобы поддерживать свою систему в чистоте, вот что вам нужно знать, согласно официальному сообщению в блоге CCleaner и сообщению Cisco Talos.
Что затронуло?
Сначала две вещи,
- Затронуто только 32-разрядное издание Windows.
- Затронуто две версии, выпущенные в период с 15 августа по 12 сентября 2017 г. Это:
- CCleaner 5.33.6162
- CCleaner Cloud 1.07.3191
Если вы используете более позднюю версию, чем эти две, или одну и ту же версию, но в 64-битной Windows, вы в безопасности.
Что могут делать эти взломанные версии?
взломанная версия будет собирать следующую информацию о локальной системе и зашифровать их перед отправкой на удаленный IP-адрес или другое место, если IP-адрес становится недоступным.
- Имя компьютера
- Список установленное программное обеспечение, включая обновления Windows
- Список запущенных процессов
- MAC-адреса первых трех сетевых адаптеров
- Дополнительная информация о том, является ли процесс работает с правами администратора, будь то 64-битная система и т. д.
Он также считывает ответ с того же IP-адреса и загружает с этого адреса полезные данные второго уровня, а затем зашифрованный по тому же алгоритму, что и на первом этапе. Однако статистика CCleaner сообщает, что они не обнаружили выполнение полезной нагрузки второго этапа и считают, что ее активация маловероятна.
Что делать, если я использую CCleaner?
Вот шаги, которые вам необходимо предпринять:
- Проверьте версию CCleaner на вашем компьютере.
- Если она старше 5.33.6162 или Cloud 1.07.3191, вы в безопасности. Пришло время обновиться до последней версии. Piriform, компания, стоящая за CCleaner, выпустила версию 5.35 20 сентября 2017 года.
- Если это более новая или такая же версия зараженного,
- Обновите до последняя версия, если вы хотите продолжить использование инструмента, и
- запустите сканирование вашего AV вручную и убедитесь, что ваша система чистая.
- Проверьте следующий реестр и удалите его, если обнаружите, что он существует в вашей системе.
HKLM SOFTWARE Piriform Agomo
update 21 августа 2017 г.
Cisco Talos опубликовала очередной отчет о рисках, связанных с взломом CCleaner. Похоже, что атака была более сложной, чем предполагалось ранее, поскольку она атакует определенный список доменов со второй полезной нагрузкой, cisco.com включен в массив.
Они также обнаружили более подробную информацию о полезных нагрузках этапа 2. Установщик этапа 2 — это GeeSetup_x86.dll, который проверяет версию ОС, а затем удаляет 32-разрядную или 64-разрядную версию троянизированный инструмент. Ни один из файлов не подписан или не является законным.
Версия x86 использует троянизированный TSMSISrv.dll, который отбрасывает VirtCDRDrv (который совпадает с именем файла легитимного исполняемого файла, являющегося частью Corel ), используя метод, аналогичный методу резервного копирования CCleaner.
Версия x64 удаляет троянизированный файл EFACli64.dll с именем SymEFA, который является именем файла, взятым из легитимного исполняемого файла, который является частью Symantec Endpoint.
Для их идентификации можно использовать следующую информацию:
Ключи реестра
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Software Microsoft Windo ws NT CurrentVersion WbemPerf 004
- HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP
Файлы
Установщик (GeeSetup_x86.dll): dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 литий> 32-битная двоичная троянские (TSMSISrv.dll): 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 литий> 64-разрядный троянизированный двоичный файл (EFACli64.dll): 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
Атака называется Supply Chain Attack, которая представляет собой очень эффективный способ распространения вредоносного программного обеспечения в целевой организации с использованием доверительных отношений между производителем или поставщиком и покупателем.
Короче говоря, хакеры смогли взломать сайт CCleaner и внедрить вредоносный код в две версии CCleaner, 5.33.6162 CCleane r и 1.07.3191 версия CCleaner Cloud. К счастью, и CCleaner, и Cisco смогли быстро обнаружить подозрительные действия по загрузке и предотвратить их широкое распространение.
Что касается того, почему и как хакеры проникли внутрь, это все еще расследуется.