CCleaner恶意代码分析预警
2017-09-18 22:39

enter image description here

0x00 事件描述

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。[参考1]

360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。

据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。

0x01 事件影响面

影响面

CCleaner 产品的使用者很广泛,影响面大。

目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。

影响版本

  • CCleaner version 5.33.6162
  • CCleaner Cloud version 1.07.3191

DNS请求态势

enter image description here

注:该图来自360网络安全研究院

0x02 部分技术信息

注:部分信息来自[参考1]和[参考2]

据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。

在编译器增加的初始化代码中的__scrt_get_dyn_tls_init_callback函数中增加了解密shellcode的调用,从而在main函数之前开始执行恶意程序并执行以下操作:

  • 使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)
  • 解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)
  • 随后DLL文件被加载和执行一个独立线程,并长期在后台运行

随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。

具体主要执行以下操作:

  • 试图存储相关信息到Windows注册表中 HKLM\SOFTWARE\Piriform\Agomo:
    • MUID: 随机字符串,不确定是否用于通信;
    • TCID: 定时器执行周期;
    • NID: 控制服务器地址
  • 试图收集以下的本地信息:
    • 主机名
    • 已安装软件列表,包括Windows更新
    • 进程列表
    • 前3个网卡的MAC地址
    • 检测进程权限是否管理员权限,是否64位等
  • 以上信息均已base64的方式进行编码。
  • 编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148,通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。
  • 接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。
  • 为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。

相关

  • DGA生成算法

enter image description here

  • 获取本地信息

enter image description here

  • 字符串混淆

enter image description here

  • API间接调用

enter image description here

  • 搜集非微软的安装程序

enter image description here

  • 枚举系统活动进程

enter image description here


Indicators of Compromise (IOCs)

  • DGA域名列表
日期 域名
2017年01月 abde911dcc16.com
2017年02月 ab6d54340c1a.com
2017年03月 aba9a949bc1d.com
2017年04月 ab2da3d400c20.com
2017年05月 ab3520430c23.com
2017年06月 ab1c403220c27.com
2017年07月 ab1abad1d0c2a.com
2017年08月 ab8cee60c2d.com
2017年09月 ab1145b758c30.com
2017年10月 ab890e964c34.com
2017年11月 ab3d685a0c37.com
2017年12月 ab70a139cc3a.com
2018年01月 abde911dcc16.com
2018年02月 ab99c24c0ba9.com
2018年03月 ab2e1b782bad.com

-文件哈希

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

-IP地址

216[.]126[.]225[.]148

0x03 安全建议

1、建议用户尽快下载最新版本进行更新

下载链接:https://www.piriform.com/ccleaner/download/standard

2、 目前 360安全卫士 已经更新并能拦截受影响的文件。如您不确定是否受影响,您可以下载360安全卫士进行安全评估。

0x04 时间线

2017-09-18 事件披露

2017-09-18 360CERT发布预警通告

0x05 参考链接

1、Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

2、Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

360CERT 北京
@安全客官方微博安全客全线改版上线——2018,从“新”出发;2017年末,安全客正式全面改版,正式将网址更替为 [太开心][太开心][太开心]O网页链接 。全新的网站界面,优化的产品体验,贴心的个性化设计……和我们一起向着2018,从“新”出发吧。O网页链接 @360安全应急响应中心 @补天漏洞响应平台 @DEFCON_GROUP_010 @360CERT
10月25日 17:00