CCleaneri pahavara teine ​​kasulik koormus avastatud

Cisco grupi Talos uus aruanne soovitab et CCleaneri häkk oli keerukam, kui algul arvati. Teadlased leidsid pahavara analüüsi käigus tõendeid teise kandevõime kohta, mis oli suunatud väga spetsiifilistele domeenide rühmadele.

18. septembril 2017 Teatas Piriform et ettevõtte taristu levis umbes kuu jooksul failide puhastamise tarkvara CCleaner pahatahtlikku versiooni.

Ettevõtte infrastruktuur oli ohus ja kasutajad, kes laadisid veebisaidilt alla CCleaneri versiooni 5.33 või kasutasid selle installimiseks automaatvärskendusi, said oma süsteemi nakatunud versiooni.

Me rääkisime meetoditest, kuidas tuvastada, kas süsteemi on installitud nakatunud versioon. Tõenäoliselt on parimaks indikaatoriks lisaks CCleaneri versiooni kontrollimisele ka registri võtmete olemasolu kontrollimine HKLM SOFTWARE Piriform Agomo alt.

ccleaner 2nd payload

Piriform teatas kiiresti, et kasutajad saavad probleemi lahendada, värskendades seda uuele pahavaravaba CCleaneri versioon .

Uus raport soovitab, et sellest ei pruugi piisata.

Talose grupp leidis tõendeid, et rünnak oli keerukam, kuna see oli suunatud kindla domeenide loendile, millel oli teine ​​kasulik koormus.

  • singtel.corp.root
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Teadlased väidavad, et ründaja oli intellektuaalomandi õiguses, tuginedes kõrge profiiliga tehnoloogiaettevõtete domeenide loendile.

Huvitaval kombel sisaldab määratud massiiv Cisco domeeni (cisco.com) koos teiste kõrgetasemeliste tehnoloogiaettevõtetega. See viitaks väärtusliku intellektuaalomandi järel väga keskendunud näitlejale.

Talos Group soovitas arvutisüsteemi taastada enne nakatumist loodud varukoopia abil. Uued tõendid kinnitavad seda ja teadlased soovitavad tungivalt, et pahavarast vabanemiseks ei pruugi CCleaneri värskendamine lihtsalt piisata.

Need leiud toetavad ja tugevdavad ka meie eelmist soovitust, et need, keda see tarneahela rünnak mõjutab, ei peaks mitte lihtsalt eemaldama mõjutatud CCleaneri versiooni ega värskendama uusimale versioonile, vaid peaksid taastama varukoopiatest või reimagesüsteemidest, tagades, et need eemaldavad täielikult mitte ainult CCleaneri tagavaraversioon, aga ka mis tahes muu pahavara, mis võib süsteemis viibida.

2. etapi installija on GeeSetup_x86.dll. See kontrollib opsüsteemi versiooni ja istutab kontrollimise alusel süsteemi 32-bitise või 64-bitise troojalase versiooni.

32-bitine trooja on TSMSISrv.dll, 64-bitine trooja on EFACli64.dll.

2. etapi kasulik koormus

Järgmine teave aitab tuvastada, kas süsteemi 2. etapi kasulik koormus on istutatud.

Registriklahvid:

  • HKLM Tarkvara Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Tarkvara Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Tarkvara Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Tarkvara Microsoft Windows NT CurrentVersion WbemPerf 004
  • HKLM Tarkvara Microsoft Windows NT CurrentVersion WbemPerf HBP

Failid:

  • GeeSetup_x86.dll (jaotis: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (jaotis: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
  • DLL registris: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • 2. etapp kasulik koormus: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83