Взломанный CCleaner: что вам нужно знать

CCleaner, один из самых популярных системных инструментов в Windows, был подтвержден как скомпрометированный в начале этого месяца, в результате чего до 3% пользователей CCleaner, примерно 2 миллиона, использовали/использовали две скомпрометированные версии CCleaner. на своих компьютерах с Windows. Если вы используете CCleaner, чтобы поддерживать свою систему в чистоте, вот что вам нужно знать, согласно официальному сообщению в блоге CCleaner и сообщению Cisco Talos.

Что затронуло?

Сначала две вещи,

  1. Затронуто только 32-разрядное издание Windows.
  2. Затронуто две версии, выпущенные в период с 15 августа по 12 сентября 2017 г. Это:
    1. CCleaner 5.33.6162
    2. CCleaner Cloud 1.07.3191

Если вы используете более позднюю версию, чем эти две, или одну и ту же версию, но в 64-битной Windows, вы в безопасности.

Что могут делать эти взломанные версии?

взломанная версия будет собирать следующую информацию о локальной системе и зашифровать их перед отправкой на удаленный IP-адрес или другое место, если IP-адрес становится недоступным.

  • Имя компьютера
  • Список установленное программное обеспечение, включая обновления Windows
  • Список запущенных процессов
  • MAC-адреса первых трех сетевых адаптеров
  • Дополнительная информация о том, является ли процесс работает с правами администратора, будь то 64-битная система и т. д.

Он также считывает ответ с того же IP-адреса и загружает с этого адреса полезные данные второго уровня, а затем зашифрованный по тому же алгоритму, что и на первом этапе. Однако статистика CCleaner сообщает, что они не обнаружили выполнение полезной нагрузки второго этапа и считают, что ее активация маловероятна.

Что делать, если я использую CCleaner?

Вот шаги, которые вам необходимо предпринять:

  1. Проверьте версию CCleaner на вашем компьютере.
  2. Если она старше 5.33.6162 или Cloud 1.07.3191, вы в безопасности. Пришло время обновиться до последней версии. Piriform, компания, стоящая за CCleaner, выпустила версию 5.35 20 сентября 2017 года.
  3. Если это более новая или такая же версия зараженного,
    1. Обновите до последняя версия, если вы хотите продолжить использование инструмента, и
    2. запустите сканирование вашего AV вручную и убедитесь, что ваша система чистая.
    3. Проверьте следующий реестр и удалите его, если обнаружите, что он существует в вашей системе.
 HKLM  SOFTWARE  Piriform  Agomo 

update 21 августа 2017 г.

Cisco Talos опубликовала очередной отчет о рисках, связанных с взломом CCleaner. Похоже, что атака была более сложной, чем предполагалось ранее, поскольку она атакует определенный список доменов со второй полезной нагрузкой, cisco.com включен в массив.

Они также обнаружили более подробную информацию о полезных нагрузках этапа 2. Установщик этапа 2 — это GeeSetup_x86.dll, который проверяет версию ОС, а затем удаляет 32-разрядную или 64-разрядную версию троянизированный инструмент. Ни один из файлов не подписан или не является законным.

Версия x86 использует троянизированный TSMSISrv.dll, который отбрасывает VirtCDRDrv (который совпадает с именем файла легитимного исполняемого файла, являющегося частью Corel ), используя метод, аналогичный методу резервного копирования CCleaner.

Версия x64 удаляет троянизированный файл EFACli64.dll с именем SymEFA, который является именем файла, взятым из легитимного исполняемого файла, который является частью Symantec Endpoint.

Для их идентификации можно использовать следующую информацию:

Ключи реестра

  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Software Microsoft Windo ws NT CurrentVersion WbemPerf 004
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

Файлы

Установщик (GeeSetup_x86.dll): dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 литий> 32-битная двоичная троянские (TSMSISrv.dll): 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 литий> 64-разрядный троянизированный двоичный файл (EFACli64.dll): 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f

  • DLL в реестре: f0d1f88c59a005312faad902528d60acbf9cda7> endash end60acbf9cdd7> endash end60 acbf9cd6 Что на самом деле произошло?

    Атака называется Supply Chain Attack, которая представляет собой очень эффективный способ распространения вредоносного программного обеспечения в целевой организации с использованием доверительных отношений между производителем или поставщиком и покупателем.

    Короче говоря, хакеры смогли взломать сайт CCleaner и внедрить вредоносный код в две версии CCleaner, 5.33.6162 CCleane r и 1.07.3191 версия CCleaner Cloud. К счастью, и CCleaner, и Cisco смогли быстро обнаружить подозрительные действия по загрузке и предотвратить их широкое распространение.

    Что касается того, почему и как хакеры проникли внутрь, это все еще расследуется.

  • Оцените статью
    toodcast.ru
    Добавить комментарий