CCleaner被感染事件與中國(guó)黑客組織APT17有關(guān)?

責(zé)任編輯:editor004

2017-09-22 10:51:07

摘自:E安全

卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)負(fù)責(zé)人Rostin Raiu(考斯汀·拉尤)首先發(fā)現(xiàn)CCleaner應(yīng)用程序內(nèi)惡意代碼與Axiom惡意軟件之間存在關(guān)聯(lián)。

持續(xù)整個(gè)夏季并于本周剛剛曝光的CCleaner黑客事件造成230萬用戶受到感染,卡巴斯基和思科安全研究人員推測(cè)這起事件可能出自于網(wǎng)絡(luò)黑客組織APT17之手,且其目標(biāo)主要指向西方各科技企業(yè)。

CCleaner黑客行為專門針對(duì)大型技術(shù)企業(yè)-E安全

CCleaner與Axiom的木馬軟件代碼相似

種種線索將Cleaner事件當(dāng)中浮現(xiàn)的證據(jù)同Axiom這一網(wǎng)絡(luò)間諜組織連接起來——該組織亦被稱為APT17、ViceDog、Tailgater Team、Hidden Lynx、Voho、Group 72以及AuroraPanda。這些不同的名稱來自將其發(fā)現(xiàn)的不同安全廠商。

卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)負(fù)責(zé)人Rostin Raiu(考斯汀·拉尤)首先發(fā)現(xiàn)CCleaner應(yīng)用程序內(nèi)惡意代碼與Axiom惡意軟件之間存在關(guān)聯(lián)。

在CCleaner事件曝光的第二天,Raiu指出CCleaner惡意軟件與此前曾經(jīng)由Axiom使用的Missl后門木馬存在相似之處。

CCleaner黑客行為專門針對(duì)大型技術(shù)企業(yè)-E安全

由思科Talos小組發(fā)布的最新的先關(guān)報(bào)告中,研究人員們也確認(rèn)了Raiu的這一相似性結(jié)論。

思科Talos小組研究員Craig Williams(克雷格·威廉姆斯)在接受郵件采訪時(shí)指出,“目前并不能確定這一切的幕后黑手就是Axiom,但二者確實(shí)共享部分代碼。”很明顯,他的回應(yīng)顯示出經(jīng)驗(yàn)豐富的安全研究人員在網(wǎng)絡(luò)間諜活動(dòng)歸因方面所抱持的謹(jǐn)慎態(tài)度。

CCleaner黑客行為專門針對(duì)大型技術(shù)企業(yè)-E安全

CCleaner的C&C服務(wù)器正在被調(diào)查

除了確認(rèn)卡巴斯基方面的發(fā)現(xiàn)之外,思科Talos小組還表示某第三方向其提供了一份命令與控制服務(wù)器文件副本,該服務(wù)器正是本次從受感染主機(jī)上收集設(shè)備信息的CCleaner污損版本的發(fā)布平臺(tái),其中即包含相關(guān)數(shù)據(jù)庫(kù)。

惡意版本收集的具體信息包括計(jì)算機(jī)名稱、已安裝軟件列表、當(dāng)前運(yùn)行進(jìn)程列表、前三個(gè)網(wǎng)絡(luò)接口MAC地址以及每臺(tái)計(jì)算機(jī)的惟一ID標(biāo)識(shí)。

思科公司的研究人員們還對(duì)自有設(shè)備的收集數(shù)據(jù)進(jìn)行檢查,從而證明這套數(shù)據(jù)庫(kù)確實(shí)真實(shí)可信。

CCleaner的另一項(xiàng)惡意功能并未啟用

初步分析報(bào)告認(rèn)為該惡意軟件能夠下載第二階段有效載荷并執(zhí)行其它惡意軟件。在對(duì)文件進(jìn)行分析之后,研究人員們意識(shí)到CCleaner惡意軟件(Floxif)——的初步分析報(bào)告并不成立。在對(duì)該C&C服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行分析之后,研究人員們表示惡意操作者僅利用該功能在全球范圍內(nèi)感染了20臺(tái)計(jì)算機(jī)。

運(yùn)行在該C&C服務(wù)器上的PHP文件會(huì)對(duì)用戶及適合下載第二階段惡意軟件(一款輕量化后門)的計(jì)算機(jī)ID。研究人員們指出,第二階段后門負(fù)責(zé)“從github.com或者wordpress.com搜索相關(guān)數(shù)據(jù)當(dāng)中檢索一條IP”,并進(jìn)一步在目標(biāo)系統(tǒng)上下載更多惡意軟件。

攻擊者主要針對(duì)一份科技企業(yè)名單實(shí)施行動(dòng)

思科公司Talos小組解釋稱,攻擊者們根據(jù)目標(biāo)計(jì)算機(jī)的域名信息選擇受害者。

被攻擊者瞄準(zhǔn)的除了思科公司自身之外,還有包括Singtel、HTC、三星、索尼、Gauselmann、英特爾、VMware、O2、沃達(dá)豐、Linksys、愛普生、MSI、Akamai、DLink、甲骨文(Dyn)甚至是微軟與谷歌(Gmail)等巨頭級(jí)企業(yè)。

CCleaner黑客行為專門針對(duì)大型技術(shù)企業(yè)-E安全

  思科已經(jīng)與受影響的企業(yè)取得聯(lián)系,并通報(bào)其可能遭遇的安全違規(guī)問題。

研究人員對(duì)自己的發(fā)現(xiàn)極具信心,因?yàn)樵揅&C服務(wù)器數(shù)據(jù)庫(kù)當(dāng)中包含兩份主表,其一列出一切受到第一階段惡意軟件(即Floxif,負(fù)責(zé)面向全部用戶進(jìn)行信息收集)感染的主機(jī); 其二則持續(xù)追蹤全部受到第二階段惡意軟件感染的計(jì)算機(jī)。

第一份表格中包含超過700萬臺(tái)計(jì)算機(jī)的相關(guān)數(shù)據(jù),而第二份表格在排除重復(fù)部分后僅包含20臺(tái)計(jì)算機(jī)的相關(guān)數(shù)據(jù)。兩份表格所存儲(chǔ)的條目皆創(chuàng)建于今年9月12日到9月16日之間。

威廉姆斯在采訪中指出,“就目前來看,9月12日之前的數(shù)據(jù)似乎被刪除掉了。這可能是為了故意限制從服務(wù)器當(dāng)中導(dǎo)出的信息量。”

攻擊者能夠針對(duì)其想要針對(duì)的一切目標(biāo)

思科公司表示,這份數(shù)據(jù)庫(kù)極具實(shí)際價(jià)值。舉例來說,只需要運(yùn)行一條簡(jiǎn)單的SQL查詢命令,思科研究人員即可發(fā)現(xiàn)540臺(tái)處于政府網(wǎng)絡(luò)當(dāng)中的計(jì)算機(jī),外加51臺(tái)處于銀行網(wǎng)絡(luò)中的計(jì)算機(jī)。

CCleaner黑客行為專門針對(duì)大型技術(shù)企業(yè)-E安全

思科公司研究人員解釋稱,這表明通過利用基礎(chǔ)設(shè)施與相關(guān)惡意軟件的組合攻擊者們就能夠?qū)崿F(xiàn)這一級(jí)別的訪問能力,此次攻擊的嚴(yán)重性與潛在影響不言而喻。

應(yīng)采取哪些安全措施?

由于C&C服務(wù)器當(dāng)中的數(shù)據(jù)尚不完整,且攻擊者下載了一款靜默第二階段下載器,因此運(yùn)行有污損版本CCleaner軟件的用戶應(yīng)當(dāng)將其徹底清除或者恢復(fù)至8月15日之前(即兩款污損CCleaner版本發(fā)布之前)的備份版本。需要強(qiáng)調(diào)的是,此前安全人員給出的建議僅僅是更新現(xiàn)有CCleaner應(yīng)用程序。

該惡意組織長(zhǎng)期針對(duì)科技企業(yè)

盡管CCleaner黑客活動(dòng)與Axiom之間的關(guān)聯(lián)性證據(jù)還相當(dāng)有限,但Axiom組織過去一直專挑科技企業(yè)作為攻擊目標(biāo)。該團(tuán)隊(duì)投入大量精力入侵此類目標(biāo),特別是在2010年年初。

而這種攻擊方式也引起了思科、FireEye、F-Secure、微軟、Tenable、ThreatConnect、ThreatTrack Security、Volexity、Novetta以及賽門鐵克等網(wǎng)絡(luò)安全廠商的重視。

這些企業(yè)共同組織起SMN行動(dòng),旨在共同努力以揭露該組織使用的工具及技術(shù)手段。思科公司Talos小組最近發(fā)布的報(bào)告亦對(duì)IOC以及C&C服務(wù)器文件作出了進(jìn)一步分析,并表示C&C服務(wù)器配置使用的是中國(guó)時(shí)區(qū)。

1.jpg

而作為CCleaner軟件的開發(fā)商,Avast公司也發(fā)布了一篇關(guān)于此次事件的調(diào)查進(jìn)展博客文章,其中確認(rèn)了攻擊者主要針對(duì)大型科技企業(yè)實(shí)施攻擊的說法。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)