Više detalja o napadu na CCleaner
Nedavni napad na Piriform je djelo veoma sofisticirane hakerske grupe. Ciljani napad na Piriform doveo je do infekcije CCleaner-a, popularnog alata za održavanje računara, trojancem. Napad se desio početkom jula.
Analiza logova sa C2 servera otkrila da je trojanac zarazio 20 računara as drugom vrstom virusa, tzv. payload druge faze (second stage payload). Ovi logovi pokrivaju samo tri dana tako da je moguće da je broj zaraženih računara puno veći.
Avast, vlasnik Piriform-a, objavio je da računari pripadaju velikim IT i telekomunikacionim kompanijama iz Japana, Tajvana, UK, Njemačke i SAD. Broj računara koji su zaraženi novim virusom kao i mete otkriva da hakeri nisu zainteresovani za standardne korisnike.
Iz Talos-a su objavili da su hakeri filtrirali korisnike u potrazi za korisnicima sa domena koji pripadaju kompanijama kao što su Singel, HTC, Samsung, Sony, Intel, Microsoft, Cisco, O2, Vodafone i Akamai. Oni su dodali da je na C2 serveru pronađena PHP datoteka sa varijablama. Jedna od varijabli se odnosi na vremensku zonu koja se koristi u Kini.
Podaci sa ovog C2 server otkrivaju da napadači kontrolišu 700 000 računara. Napadači su u MySQL bazi podataka čuvali podatke o operativnom sistemu, arhitekturi računara, korisničkim privilegijama, nazivu računara i domena, kao i listu instaliranog softver i pokrenutih procesa. Od 700 000 računara 540 dolazi sa domena vlada, dok 54 u domenu ima riječ „bank“.
Payload druge faze instaliran je korišćenjem dva dll biblioteke. Kako bi izbjegao detekciju payload je obfuskovan i koristi više trikova za izbjegavanje debagera i virtuelnih mašina.
Jedan dll omogućava komunikaciju sa C2 serverom kao i promjenu adrese C2 servera, korišćenjem Github ili WordPress naloga.
Payload mijenja legitimne aplikacije kako bi ih iskoristio za čitanje i izvršavanje PE datoteke (prenosiva izvršna datoteka) koju čuva u Windows Registry-u. Ovaj korak otežava detekciju, jer se PE datoteka ne nalazi fajl sistemu.
Avast preporučuje da se CCleaner ažurira na verziju 5.35 koja je potpisana drugim certifikatom. Certifikat koji je korišćen za potpisivanje maliciozne verzije je povučen.
Izvor:www.securityweek.com
