CCleaner Malware deuxième charge utile découverte

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Un nouveau rapport du groupe Talos de Cisco suggère que le hack CCleaner était plus sophistiqué qu'on ne le pensait initialement. Les chercheurs ont trouvé la preuve d'une deuxième charge utile lors de leur analyse du malware qui ciblait des groupes très spécifiques basés sur des domaines.

Le 18 septembre 2017 Piriform signalé que l'infrastructure de l'entreprise a distribué une version malveillante du logiciel de nettoyage de fichiers CCleaner pendant environ un mois.

L'infrastructure de l'entreprise a été compromise et les utilisateurs qui ont téléchargé la version 5.33 de CCleaner à partir du site Web ou qui ont utilisé des mises à jour automatiques pour l'installer ont obtenu la version infectée sur leur système.

Nous avons parlé de méthodes pour identifier si une version infectée est installée sur le système. Le meilleur indicateur, mis à part la vérification de la version de CCleaner, est probablement de vérifier l'existence de clés de registre sous HKLM SOFTWARE Piriform Agomo.

Piriform n'a pas tardé à déclarer que les utilisateurs pouvaient résoudre le problème en mettant à jour le nouveau version sans malware de CCleaner .

Un nouveau rapport suggère que cela pourrait ne pas suffire.

Talos Group a trouvé des preuves que l'attaque était plus sophistiquée, car elle ciblait une liste spécifique de domaines avec une deuxième charge utile.

• singtel.corp.root
• htcgroup.corp
• samsung-breda
• samsung
• samsung.sepm
• samsung.sk
• jp.sony.com
• am.sony.com
• gg.gauselmann.com
• vmware.com
• ger.corp.intel.com
• amr.corp.intel.com
• ntdev.corp.microsoft.com
• cisco.com
• uk.pri.o2.com
• vf-es.internal.vodafone.com
• linksys
• apo.epson.net
• msi.com.tw
• infoview2u.dvrdns.org
• dfw01.corp.akamai.com
• hq.gmail.com
• dlink.com
• test.com

Les chercheurs suggèrent que l'attaquant recherchait la propriété intellectuelle en se basant sur la liste des domaines appartenant à des entreprises technologiques de haut niveau.

Il est intéressant de noter que la baie spécifiée contient le domaine de Cisco (cisco.com) ainsi que d'autres sociétés technologiques de haut niveau. Cela suggérerait un acteur très concentré après une propriété intellectuelle précieuse.

Le groupe Talos a suggéré de restaurer le système informatique à l'aide d'une sauvegarde créée avant l'infection. Les nouvelles preuves le renforcent, et les chercheurs suggèrent fortement qu'il ne suffira peut-être pas de simplement mettre à jour CCleaner pour se débarrasser du malware.

Ces résultats soutiennent et renforcent également notre recommandation précédente selon laquelle les personnes touchées par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou mettre à jour vers la dernière version, mais devraient restaurer à partir des sauvegardes ou réimaginer les systèmes pour s'assurer qu'elles suppriment complètement non seulement le version backdoored de CCleaner mais aussi tout autre malware pouvant résider sur le système.

Le programme d'installation de l'étape 2 est GeeSetup_x86.dll. Il vérifie la version du système d'exploitation et installe une version 32 bits ou 64 bits du cheval de Troie sur le système en fonction de la vérification.

Le cheval de Troie 32 bits est TSMSISrv.dll, le cheval de Troie 64 bits est EFACli64.dll.

Identification des charges utiles de l'étape 2

Les informations suivantes permettent d'identifier si une charge utile de niveau 2 a été implantée sur le système.

Clés de registre:

• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

Des dossiers:

• GeeSetup_x86.dll (hachage: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
• EFACli64.dll (hachage: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
• TSMSISrv.dll (hachage: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
• DLL dans le registre: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
• Charge utile de l'étape 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83