Tổng quan về việc phần mềm dọn rác CCleaner 5.33.6162 (32 bit) bị chèn mã độc.

Cập nhập 22/09/2017:

 Avast công bố chi tiết máy chủ C&C ngày hôm nay : Sau khi Avast kết hợp cùng các cơ quan hành pháp tại Mỹ kiểm tra máy chủ C&C (máy chủ điều khiển mã độc từ xa), phục hồi dữ liệu, nhật ký...

- Thông tin máy chủ là một máy tính thấp cấp với dung lượng đĩa hạn chế. Dựa trên bản ghi, ổ đĩa của máy chủ đã bị đầy và những kẻ tấn công đã phải xóa các dữ liệu thu thập được, bên cạnh đó thông tin về các Nhiễm trùng CCleaner bị mất do lỗi phần mềm ổ đĩa chạy trên Máy chủ.

- Hầu hết IP các kết nối đến máy chủ đều ở Nhật Bản.

- Múi giờ cơ sở dữ liệu trong các tập lệnh PHP cung cấp là PRC (Cộng hòa Nhân dân Trung Hoa) trong khi đó giờ đồng hồ hệ thống là UTC.

Nhật ký máy chủ C&C:

- Ngày 31/07/2017 - 06:32: Những kẻ tấn công cài đặt máy chủ.

- Ngày 11/08/2017 - 07:36: Những kẻ tấn công bắt đầu các thủ tục thu thập dữ liệu để chuẩn bị cho ngày 15 tháng 8 khi chúng tấn công CCleaner, và sau đó là CCleaner Cloud.

- Ngày 10/09/2017 - 20:59: Máy chủ hết dung lượng và dừng thu thập dữ liệu.

- Ngày 12/09/2017 - 07:56: Những kẻ tấn công xóa cơ sở dữ liệu.

- Ngày 12/09/2017 - 08:02: Những kẻ tấn công cài đặt lại cơ sở dữ liệu.

- Ngày 15/09/2017 - 09:50: Các cơ quan bắt giữ máy chủ C&C và cơ sở dữ liệu ngay sau đó.


Cập nhập 19/09/2017:

Trong thông báo mới nhất của mình, Ông Vince Steckler Tổng giám đốc và Ondrej Vlcek, CTO kiêm EVP Khách hàng doanh nghiệp chính thức đính chính làm rõ các chi tiết xung quanh sự cố CCleaner  bị hacker chèn mã độc mà giới truyền thông đã đưa tin.

1. CCleaner 5.33.6162 được phát hành vào ngày 15/08/2017 và phát hành CCleaner Cloud v1.07.3191 ngày 24/08/2017, đến ngày 12/09/2017, Công ty bảo mật Morphisec đã thông báo cho Avast Lab về vụ việc ( Morphisec đã phát hiện từ ngày 20/08/2017 và theo dõi traffic), sau đó Morphisec cũng thông báo vụ việc tương tự cho Cisco vì họ tìm thấy kẻ tấn công nhắm đến các mục tiêu nạn nhân dựa trên tên miền máy tính như Cisco và các tổ chức khác như Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle Microsoft và Google (Gmail). Đến ngày 14/09/2017, Cisco gởi văn bản thông báo đến Avast và các công ty bị ảnh hưởng để thông báo vụ việc.


Mục tiêu nạn nhân dựa trên tên miền của malware

2. Máy chủ điều khiển mã độc C&C sau đó đã chính thức bị gỡ bỏ bởi các Cơ quan thực thi pháp luật vào ngày 9h50 ngày 15/09/2017. Trong thời gian đó, nhóm Cisco Talos, cũng đã chủ động đăng ký các tên miền DGA thứ cấp để xác định và tính toán địa chỉ IP của máy chủ C&C. Như vậy, mã độc đã bị vô hiệu hóa từ xa. Cùng ngày, CCleaner 5.34 và CCleaner Cloud 1.07.3214 nhưng đã gỡ bỏ cài đặt backdoor đã được phát hành và tải lên như là một cập nhật tự động cho người dùng CCleaner. Đến ngày 18/09/2017, sự cố CCleaner được công khai như các báo cáo của Avast, Piriform, Morphisec và Cisco.

3. Sau khi phân tích cơ sở dữ liệu của máy chủ C&C, số lượng người dùng bị ảnh hưởng giảm từ 2,27 triệu xuống còn 730,000. Và thực tế các nhà nghiên cứu cho biết hacker đã lây nhiễm 20 máy tính trên toàn cầu.

Về kỹ thuật: 

Mẫu MD5 của CCleaner_Malware trên VirusTotal:

8f56fd14133ccd84b6395913536f5823d74737c410b829f729baaf2fe645a0a9

Sau khi phân tích các tệp này, các nhà nghiên cứu nhận ra rằng các báo cáo ban đầu về phần mềm độc hại của CCleaner mang tên Floxif - chỉ là một phần. Bên cạnh đó, sau khi phân tích cơ sở dữ liệu của máy chủ C&C, các bằng chứng thu được từ sự cố CCleaner liên quan đến hoạt động của một nhóm gián điệp qua mạng là tên của Axiom, ngoài ra còn có một số thông tin liên quan đến APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72, AuroraPanda.

Nsau khi phân tích sâu về các tệp, các nhà nghiên cứu đã chỉ ra những điểm giống nhau đến chi tiết giữa phần mềm độc hại của CCleaner và trojan backdoor Missl (Trojan mà Axiom, APT17 đã sử dụng để tấn công trước đây)

Bên trong cơ sở dữ liệu máy chủ C&C,  sau khi loại bỏ các bản sao, đã có hai bảng chính:

1. Bảng 1: Liệt kê tất cả các máy bị nhiễm phần mềm độc hại giai đoạn đầu (Floxif - một trong đó thu thập thông tin về tất cả người dùng) chứa dữ liệu trên hơn 700.000 máy tính

2. Bảng 2: Theo dõi tất cả các máy tính bị nhiễm phần mềm độc hại giai đoạn hai - đã lây nhiễm 20 máy tính trên toàn cầu.

 Sự giống nhau của CCleaner malware và Missl backdoor 

8f56fd14133ccd84b6395913536f5823d74737c410b829f729baaf2fe645a0a9

0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2 

Nguồn:

http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor  

https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident?utm_campaign=socialposts_us&utm_source=twitter&utm_medium=post

 

Bản tin 18/09/2017:

Một hoạt động đáng ngờ đã được xác định vào ngày 12 tháng 9 năm 2017, khi Avast Lab thấy địa chỉ IP không xác định nhận dữ liệu từ phần mềm được tìm thấy trong phiên bản 5.33.6162 của CCleaner và CCleaner Cloud phiên bản 1.07.3191 trên các hệ thống Windows 32-bit. Dựa trên phân tích sâu hơn, Avast Lab thấy rằng phiên bản 5.33.6162 của CCleaner và phiên bản 1.07.3191 của CCleaner Cloud bị sửa đổi bất hợp pháp trước khi nó được phát hành ra công chúng và Avast Lab đã bắt đầu quá trình điều tra. Hãng Avast cũng liên lạc ngay với các đơn vị thực thi pháp luật và làm việc với họ để giải quyết vấn đề. Mối đe dọa đã được giải quyết theo nghĩa máy chủ lừa đảo, các máy chủ tiềm năng khác nằm ngoài sự kiểm soát của kẻ tấn công và CCleaner hiện đã phát hành phiên bản cập nhập mới nhất 5.34 hôm 13/09. Người dùng CCleaner Cloud phiên bản 1.07.3191 cũng đã nhận được cập nhật tự động.

Phần mềm độc hại có tên là Floxif – thu thập dữ liệu từ các máy tính bị nhiễm bệnh, như tên máy tính, danh sách các phần mềm đã cài đặt, danh sách các tiến trình đang chạy, địa chỉ MAC và sử dụng ID duy nhất để xác định từng máy tính. Tuy nhiên mối nguy hại nghiêm trọng là Floxif có thể tải về và thực hiện các phần mềm độc hại khác, nhưng dường như kẻ tấn công đã " bỏ quên " sử dụng chức năng này. Ngoài ra, phần mềm độc hại chỉ được thực hiện nếu người dùng đang sử dụng tài khoản quản trị viên, nếu bạn đang dùng Windows 7 Home Premium, thì tài khoản chính của bạn rất có thể là tài khoản quản trị và bạn nên cập nhật phiên bản 5.34 của CCleaner.

Hướng khắc phục:

1. Cập nhập ngay phiên bản mới nhất của CCleaner tại:

https://www.piriform.com/ccleaner/download/standard

2. Không cài đặt các phiên bản cũ và sử dụng CCleaner 5.33.6162 hoặc CCleaner Cloud 1.07.3191 trên các nguồn lưu trữ web.

 

Mẫu MD5 của Floxif trên VirusTotal:

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9

1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff

36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

IP máy chủ C&C điều khiển mã độc: 216.126.225.148

Danh sách tên miền máy chủ độc hại:

ab6d54340c1a.com

aba9a949bc1d.com

ab2da3d400c20.com

ab3520430c23.com

ab1c403220c27.com

ab1abad1d0c2a.com

ab8cee60c2d.com

ab1145b758c30.com

ab890e964c34.com

ab3d685a0c37.com

ab70a139cc3a.com

 Nguồn: http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

 

0 Bình luận