发现CCleaner恶意软件第二个有效负载
- 类别: 安全
思科Talos集团的新报告 建议 CCleaner黑客比最初想象的要复杂。研究人员在分析恶意软件时发现了第二个有效载荷的证据,该恶意软件针对基于域的非常特定的组。
2017年9月18日 Piriform报道 该公司的基础架构分发了大约一个月的恶意版本的文件清除软件CCleaner。
该公司的基础架构遭到破坏,从网站上下载CCleaner 5.33版或使用自动更新进行安装的用户在系统上感染了该版本。
我们讨论了确定系统上是否安装了受感染版本的方法。除了检查CCleaner的版本以外,最好的指示可能是检查HKLM SOFTWARE Piriform Agomo下是否存在注册表项。

Piriform很快声明用户可以通过更新到新版本来解决问题。 CCleaner的无恶意软件版本 。
一份新报告表明,这可能还不够。
Talos Group发现证据表明,这种攻击更为复杂,因为它针对具有第二个有效负载的特定域列表。
- singtel.corp.root
- htcgroup.corp
- 三星布雷达
- 三星
- 三星
- 三星
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- 链接系统
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
研究人员认为,攻击者是根据属于知名高科技公司的域名列表来追求知识产权的。
有趣的是,指定的阵列包含Cisco的域(cisco.com)以及其他知名技术公司。这将表明在追求有价值的知识产权之后,一个非常专注的演员。
Talos Group建议使用感染前创建的备份来还原计算机系统。新证据进一步证明了这一点,研究人员强烈建议仅仅更新CCleaner以摆脱恶意软件可能还不够。
这些发现还支持并加强了我们先前的建议,即受此供应链攻击影响的人员不应简单地删除受影响的CCleaner版本或更新至最新版本,而应从备份或重新映像系统中恢复以确保他们不仅完全删除了CCleaner。后门版本的CCleaner,以及可能驻留在系统上的任何其他恶意软件。
第二阶段的安装程序是GeeSetup_x86.dll。它检查操作系统的版本,并根据检查在系统上植入木马的32位或64位版本。
32位木马是TSMSISrv.dll,64位木马是EFACli64.dll。
识别第2阶段的有效负载
以下信息有助于确定系统上是否已植入第2阶段有效负载。
注册表项:
- HKLM 软件 Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM 软件 Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM 软件 Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM 软件 Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM 软件 Microsoft Windows NT CurrentVersion WbemPerf HBP
档案:
- GeeSetup_x86.dll(哈希:dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll(哈希:128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll(哈希:07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- 注册表中的DLL:f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- 第2阶段有效负载:dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83