<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • Avast發布CCleaner APT事件調查新進展

    2018-05-03 424579人圍觀 ,發現 1 個不明物體 安全報告

    在前不久的 RSA2018 大會上,Avast 的安全研究員分享了其團隊在 CCleaner APT(高級持續威脅)調查過程中的新發現。結果顯示,攻擊者通過 TeamViewer 進入 Piriform 網絡,并在 Avast 收購 Piriform 之后,感染了 CCleaner。調查過程中,Avast 還發現活躍在韓國和俄羅斯的 ShadowPad 樣本涉及到金融交易。

    Avast 發布 CCleaner APT 事件調查新進展

    事件回顧

    2017 年 9 月,攻擊者將 CCleaner 鎖定為新目標,通過 CCleaner 安裝文件發布惡意軟件。 全球 227 萬名 CCleaner 客戶都下載了修改后的惡意安裝文件。此后,Avast 的威脅情報團隊一直跟蹤調查事件進展。

    至今,研究人員的調查取得了長足進展。他們發現攻擊者滲入 Piriform 網絡的方法,并得知惡意程序在雷達檢測下保持活躍的策略。此外,為了將 CCleaner 與其他攻擊進行對比,研究人員還分析了老版本的 ShadowPad,因為 ShadowPad 這個網絡攻擊平臺在四臺 Piriform 電腦上都出現過。調查顯示,韓國和俄羅斯都曾出現過 ShadowPad 的身影,攻擊者借此入侵計算機并窺探匯款流程。

    CCleaner攻擊:攻擊者進入 Piriform 網絡的過程

    為了發起 CCleaner 攻擊,攻擊者首先在 2017 年 3 月 11 日(Avast 收購 Piriform 的四個月前)訪問 Piriform 的網絡,在開發人員工作站上使用 TeamViewer 滲透網絡。他們僅僅登錄一次就成功獲得訪問權限,這意味著他們提前獲知了登錄憑據。雖然尚不清楚攻擊者獲得證書的途徑,但根據推測,攻擊者使用了用戶用于登錄其他服務且可能已經泄露的 Piriform 工作站憑證去訪問 TeamViewer 帳戶。

    根據日志文件,攻擊者在當地時間凌晨 5 點訪問了 TeamViewer,當時 PC 正在運行但無人看管。攻擊者試圖安裝兩個惡意 DLL,但由于沒有系統管理權限,安裝并未成功。在第三次嘗試中,攻擊者使用 VBScript(Microsoft開發的腳本語言)成功刪除了有效負載。

    攻擊者入侵第一臺電腦的方式

    圖 1    攻擊者入侵第一臺電腦的方式

    到 2017 年 3 月 12 日,攻擊者通過網絡橫向進入第二臺電腦,再次針對工作時間(當地時間凌晨 4 點)以外無人看管的計算機發起攻擊,向計算機的注冊表傳遞二進制和有效載荷。傳遞的有效負載是第二階段惡意軟件的舊版本,當時已經發送給 40 位 CCleaner 用戶。

    3 月 12 日轉移到第二臺電腦中

    圖 2   3 月 12 日轉移到第二臺電腦中

    兩天后,攻擊者又回到了第一臺計算機,同時在計算機中加載了第二階段的惡意軟件。

    在第一臺計算機中加載第二階段的惡意軟件

    圖 3   在第一臺計算機中加載第二階段的惡意軟件

    經過幾周的潛伏之后,下一階段的有效載荷被傳送到第一臺受感染的計算機。研究人員認為攻擊者在潛伏期間準備了惡意二進制文件,他們利用多種技術滲透內部網絡中的其他計算機。他們的手段包括使用按鍵記錄器收集的密碼、利用管理權限通過 Windows 遠程桌面應用程序登錄等。CCleaner 攻擊的第三階段是加載臭名昭著的 ShadowPad 有效載荷,它作為一個 mscoree.dll 庫傳遞到 Piriform 網絡中的四臺計算機,其中包含一個構建服務器,偽裝成 .NET 運行庫躲避關注。這個存儲在磁盤上的庫有一個時間戳,時間戳顯示,研究人員發現的 ShadowPad 版本是在 2017 年 4 月 4 日編譯的,也就是其安裝到 Piriform 電腦上的前 8 天。這意味著,攻擊者為了攻擊而專門制作了這個版本。

    攻擊者在 Piriform 網絡中一共潛伏了五個月,最后才將惡意有效負載隱藏到 CCleaner 版本中。Avast 在 2017 年 7 月 18 日收購 Piriform 之后,攻擊者在 2017 年 8 月 2 日發布了第一款 CCleaner 版本的惡意負載。有趣的是,攻擊者花了很長時間才開始對 CCleaner 用戶發起攻擊。

    ShadowPad 在韓國和俄羅斯也很活躍

    在分析來自 Piriform 網絡的 ShadowPad 可執行文件后,研究人員試圖在 VirusTotal 上查找類似的文件,并找到了兩個樣本,一個出現在韓國,另一個出現在俄羅斯。

    從韓國上傳到 VirusTotal 的樣本上傳時間是 2017 年 12 月 27 日。該樣本用于與韓國建國大學的 CnC 服務器進行通信,很可能存在于一臺被入侵的電腦中。根據樣本的上傳方式和信息可以判斷,將其上傳到 VirusTotal 的是單個用戶,并非安全公司。

    解密的病毒配置顯示攻擊中使用的 IP 地址; 圖片來源:Avast

    圖 4   解密的病毒配置顯示攻擊中使用的 IP 地址; 圖片來源:Avast

    來自因特網搜索引擎 Shodan.io 的圖像,顯示 CnC 服務器 IP 地址上可用的服務; 圖片來源:Shodan

    圖 5   來自因特網搜索引擎 Shodan.io 的圖像,顯示 CnC 服務器 IP 地址上可用的服務; 圖片來源:Shodan

    研究人員在 VirusTotal 上找到的第二個 ShadowPad 可執行文件主要針對俄羅斯的一臺計算機,該計算機由一個參與公共預算分配的組織運營。其中一份上傳的文件帶有文件名,第二份提交文件上傳到了來自中國的 VirusTotal。第一份文件于 2017 年 11 月 3 日提交,第二份文件于 2017 年 11 月 6 日提交。

    第二次提交的內容里有一個 7ZIP 文件夾,包含之前提交的內容,以及來自鍵盤記錄模塊的加密日志。研究人員解密了日志文件并在各種進程中找到了按鍵,例如來自 Microsoft Word、Firefox、Windows 資源管理器和 КриптоПроCSP(CryptoPro CSP)。其中最有意思的是 Firefox 用戶完成金融交易的日志,還有一份公開記錄的合同,以及參與這些流程的員工的姓名。

    通過分析俄羅斯的 ShadowPad 樣本,研究人員得出了一個特別的結論:ShadowPad 并不總是模塊化的。這個版本中,所有模塊都捆綁在一個可執行文件中,而不是單獨存儲在 Windows 注冊表中,就像用于 Piriform 攻擊的版本一樣。捆綁版本有助于研究人員更深入、更全面地了解攻擊者編程的模塊。分析結果顯示,攻擊者甚至懶得將其中一些模塊下載到 Piriform 網絡;而在俄羅斯 ShadowPad 攻擊中使用的插件只有三個被用在 Piriform 攻擊中。

    七.png

    圖 6   俄羅斯攻擊中使用的 ShadowPad 模塊

    俄羅斯攻擊中使用的時間最久的惡意可執行文件是在 2014 年建立的,這意味著它背后的組織可能連續多年在從事的間諜活動。研究人員在密鑰記錄器中找到的具體付款信息屬于公開的記錄,但攻擊者很有可能也訪問了敏感信息。

    網絡安全應當成為并購盡職調查的核心部分

    韓國和俄羅斯的 ShadowPad 攻擊案例表明,ShadowPad 已經活躍了很長時間,它能夠透徹地監視機構和組織,這不能不令人生畏。

    回到 CCleaner 事件,高達 227 萬名 CCleaner 個人用戶和企業用戶下載了受感染的 CCleaner 產品。然后攻擊者僅僅使用 40 臺由高科技電信公司運營的個人計算機就能安裝第二階段的惡意 payload。不過,暫時沒有證據表明 ShadowPad 的第三階段 payload 通過 CCleaner 分發給 40 臺計算機。

    Avast 認為,CCleaner 攻擊帶來的警示主要有兩點。 首先,并購盡職調查不能只局限于法律和財務問題,公司還要高度關注網絡安全。對于 Avast 來說,網絡安全已成為其收購過程中關注的重要一環。 其次,供應鏈安全目前還不是企業的關鍵優先事項,但企業需要盡力改變這一現狀。因為攻擊者會將供應鏈作為目標,從中找到最薄弱的環節下手。如果一個產品有數百萬的用戶,那么這個產品就會成為誘人的目標。因此,公司需要增加對供應鏈安全的關注和投資。

    *參考來源:Avast Blog,AngelaY 編譯整理,轉載請注明來自 FreeBuf.COM。

    這些評論亮了

    • softbug (7級) i am here! 回復
      趕快卸載ccleaner了,本來就是國外的軟件。 還是用360和騰訊管家吧 。
      )17( 亮了
    發表評論

    已有 1 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看