|
E安全9月19日訊 根據(jù)Cisco Talos昨日發(fā)布的報(bào)告����,如果大家曾經(jīng)在今年8月15日到9月12日之間在自己的計(jì)算機(jī)上通過(guò)官方網(wǎng)站下載或者更新CCleaner應(yīng)用,那么請(qǐng)務(wù)必當(dāng)心——您的計(jì)算機(jī)已經(jīng)受到入侵!
圖1:CCleaner 5.33的屏幕快照 CCleaner是一款免費(fèi)的系統(tǒng)優(yōu)化和隱私保護(hù)工具�����,目前已經(jīng)擁有超過(guò)20億次下載量�����。其由Piriform公司開(kāi)發(fā)并最終被Avast所收購(gòu)���,用于幫助用戶清理計(jì)算機(jī)系統(tǒng)以優(yōu)化并增強(qiáng)性能表現(xiàn)。 供應(yīng)鏈攻擊:官網(wǎng)下載也得當(dāng)心來(lái)自思科Talos小組的安全研究人員們發(fā)現(xiàn)���,Avast公司所使用的下載服務(wù)器受到某些未知黑客的入侵���,其利用惡意代碼替換了該軟件的原始版本,并在一個(gè)月左右時(shí)間之內(nèi)將其散播至數(shù)百萬(wàn)用戶當(dāng)中�。 此次事故無(wú)疑是供應(yīng)鏈攻擊活動(dòng)的又一次明證。在今年早些時(shí)候�,一家名為MeDoc的烏克蘭公司同樣遭遇到更新服務(wù)器入侵事故,并因此在全球范圍內(nèi)大量散播存在嚴(yán)重破壞能力的Petya勒索軟件����。 Avast與Piriform雙方皆確認(rèn)稱���,32位CCleaner v5.33.6162版本與CCleaner Cloud v1.07.3191版本已經(jīng)受到該惡意軟件的感染。
根據(jù)本月13日的檢測(cè)結(jié)果����,CCleaner的惡意版本當(dāng)中包含一種多段式惡意軟件載荷,其能夠從受感染的計(jì)算機(jī)處竊取數(shù)據(jù)并將信息發(fā)送至攻擊者的遠(yuǎn)程命令與控制服務(wù)器當(dāng)中����。 此外,這批身份不明的黑客還利用賽門鐵克公司頒發(fā)給Piriform的有效數(shù)字簽名以及域名生成算法(簡(jiǎn)稱DGA)對(duì)惡意安裝可執(zhí)行文件(v5.33)進(jìn)行簽名���,這意味著一旦攻擊者的服務(wù)器下線���,該DGA會(huì)生成新的域名以接收并發(fā)送失竊信息。 
圖2:CCleaner的數(shù)字簽名5.33
Piriform公司產(chǎn)品副總裁帕爾·揚(yáng)(Paul
Yung)解釋稱����,“所有收集到的信息皆通過(guò)base64進(jìn)行加密與編碼,且?guī)в幸惶锥ㄖ苹帜副?��。編碼信息隨后會(huì)通過(guò)HTTPS
POST請(qǐng)求被提交至216.126.x.x這一外部IP地址(此地址以硬編碼形式嵌入至有效載荷當(dāng)中���,我們?cè)谶@里特意隱去了最后兩部分)?����!?/p> 此惡意軟件通過(guò)編程以收集大量用戶數(shù)量�,具體包括: · 計(jì)算機(jī)名稱 · 已安裝軟件列表���,包括Windows更新 · 全部運(yùn)行中進(jìn)程列表 · IP與MAC地址 · 其它信息�����,例如某進(jìn)程是否以管理員權(quán)限運(yùn)行以及當(dāng)前系統(tǒng)是否為64位等����。
圖3:惡意軟件操作流程
受感染的版本被227萬(wàn)人使用根據(jù)Talos研究人員們所言,目前CCleanr(或者Crap Cleaner)的每周下載用戶數(shù)量約為500萬(wàn)名�,這意味著可能有超過(guò)2000萬(wàn)用戶已經(jīng)因?yàn)樵搼?yīng)用的惡意版本而受到感染。 Talos小組指出,“此波攻擊的影響很可能影響到大量系統(tǒng)����。CCLeaner宣稱截至2016年11月,其下載總量已經(jīng)超過(guò)20億次�,另有報(bào)道指出其每周新增用戶量達(dá)500萬(wàn)?��!?/p> 然而����,Piriform方面估算稱�,最多只有3%的用戶(227萬(wàn)用戶)受到該惡意版本的感染。
圖4:CCleanr統(tǒng)計(jì)數(shù)據(jù) 這里強(qiáng)烈建議受到感染的用戶將CCleaner軟件更新至5.34或者更高版本�,從而避免相關(guān)計(jì)算設(shè)備遭到入侵。目前最新版本的下載已經(jīng)正式開(kāi)放�����。 最新版本下載地址:https://www./ccleaner/download
蘋果Mac用戶不會(huì)受到影響���。 您需要了解的一切以及如何應(yīng)對(duì) 如果您在今年8月15日到9月12日之間在自己的計(jì)算機(jī)上通過(guò)官方網(wǎng)站下載或者更新CCleaner應(yīng)用�,您的計(jì)算機(jī)已經(jīng)受到入侵!以下是您需要了解的一切以及如何應(yīng)對(duì)方案:
出什么事了�����?某不知名網(wǎng)絡(luò)黑客組織入侵了CCleaner基礎(chǔ)設(shè)施�����。 攻擊者向32位CCleaner 5.33.6162版本以及CCleaner Cloud 1.07.3191版本添加了惡意軟件����。 這部分文件將影響到曾于今年8月15日到9月12日之間下載CCleaner軟件的用戶�。 誰(shuí)會(huì)受到影響?每一位曾在上述時(shí)段之內(nèi)下載并安裝此受感染版本的用戶都將受到影響����。 Avast公司估計(jì)受影響設(shè)備數(shù)字為227萬(wàn)臺(tái)。 該惡意軟件會(huì)造成哪些麻煩���?這款名為Floxif的惡意軟件會(huì)從受感染計(jì)算機(jī)中收集各類數(shù)據(jù)�,具體包括計(jì)算機(jī)名稱����、已安裝軟件列表����、當(dāng)前運(yùn)行中進(jìn)程列表���、前三個(gè)網(wǎng)絡(luò)接口的MAC地址以及每臺(tái)計(jì)算機(jī)所特有的惟一ID等等����。 此惡意軟件還會(huì)下載并執(zhí)行其它惡意軟件�����,不過(guò)Avast方面表示其尚未發(fā)現(xiàn)有證據(jù)表明攻擊者曾使用這項(xiàng)功能����。 該如何解決?此惡意軟件被嵌入至CCleaner的可執(zhí)行文件當(dāng)中����。將CCleaner升級(jí)至v5.34即可移除舊有可執(zhí)行文件及該惡意軟件。CCleaner并不會(huì)自動(dòng)更新�����,因此用戶必須手動(dòng)下載并安裝CCleaner 5.34。 Avast公司指出�,其已經(jīng)為CCleaner Cloud用戶推送了更新,因此這部分用戶將不會(huì)受到影響�。目前CCleaner Cloud的清潔版本為1.07.3214。 還有哪些細(xì)節(jié)�?此惡意軟件只會(huì)在用戶使用管理員帳戶時(shí)執(zhí)行。如果您使用低權(quán)限帳戶以安裝CCleaner 5.33�����,則不會(huì)受到影響�。不過(guò)仍然建議大家更新至5.34版本。 為何反病毒軟件無(wú)法發(fā)現(xiàn)這一感染�����?CCleaner庫(kù)當(dāng)中包含的惡意軟件擁有有效的數(shù)字證書簽名����。 CCleaner最新版本下載地址: https://www./ccleaner/download 注:本文由E安全編譯報(bào)道,轉(zhuǎn)載請(qǐng)注明原文地址
https://www./news/2112515923.shtml
|
