压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，有安全研究團隊表示，著名系統優化工具CCleaner被發現植入惡意代碼。大量使用該工具的用戶恐將面臨泄密風險。這是繼Xshell后門事件后，又一起嚴重的軟件供應鏈來源攻擊事件。據研究人員估算全球2000萬用戶受到感染，但CCleaner官方稱只有227萬用戶受到影響。

CCleaner是一款免費的系統優化和隱私保護工具。主要用來清除Windows系統不再使用的垃圾文件，以騰出更多硬盤空間，并且還具有清除上網記錄等功能。

目前國內下載站點仍在分發存在后門的版本。瑞星在此提醒廣大使用該工具的用戶，及時卸載有問題的版本，下載CCleaner最新版本，避免隱私泄露的風險。

CCleaner最新版本下載地址：https://www.piriform.com/ccleaner/download

瑞星所有安全產品只要將版本升級到最新便可對其查殺。

影響版本

CCleaner ?5.33.6162

CCleaner Cloud version 1.07.3191

事件分析

惡意代碼收集了受害者系統的以下信息：

（1）計算機名稱

（2）安裝的軟件列表，包括Windows更新

（3）運行的進程列表

（4）前三個網卡的MAC地址

（5）進程是否以管理員權限運行的附加信息，是否為64位系統等。

所有收集的信息都通過base64加密并使用自定義字母編碼。

CCleaner公告稱植入惡意代碼事件，攻擊源來自哪里、準備時間長短、攻擊者是誰，目前還在進一步調查中

由于被植入惡意代碼的CCleaner簽名有效，且程序功能完整，惡意代碼隱藏在應用程序的初始化代碼CRT（Common Runtime）中，通常由編譯器編譯時插入。有兩種可能導致此事件：

（1）攻擊者入侵開發人員計算機，在源碼中留下后門。

（2）攻擊者入侵開發人員計算機和下載服務器。 盜走源碼和數字簽名，修改后編譯后替換下載服務器中的程序。

圖：有效的數字簽名

病毒詳細分析

攻擊者添加了TLS回調函數，在回調函數的線程中執行惡意代碼，會早于main函數被執行

圖：TLS回調函數

被加密的shellcode

圖：加密的shellcode

解密shellcode的函數

圖：解密函數

把解密后的shellcode復制到申請的內存中，并跳轉執行

圖：復制并執行shellcode

動態獲取需要用到的函數地址

圖：動態獲取函數地址

解密完成后，創建線程執行惡意功能

圖：創建線程執行惡意功能

獲取網卡信息

圖：獲取網卡信息

進程所屬用戶組是否為管理員權限

圖：判斷進程權限

獲取計算機用戶名

圖：獲取計算機信息

異或加密獲取到的受害者機器信息

圖：異或加密獲取的信息

base64編碼后

圖：base64編碼

拼湊控制服務器IP

圖：拼湊控制服務器IP

連接控制服務器

圖：連接控制服務器

發送編碼后的受害者計算機信息

圖：發送編碼后的信息

如果默認的控制服務器連接失敗，還可以通過DGA算法生成域名

圖：DGA算法生成域名

IOC:

MD5：

75735DB7291A19329190757437BDB847

EF694B89AD7ADDB9A16BB6F26F1EFAF7

IP:

216.126.225.148

DGA 域名：

域名	生效月份
ab6d54340c1a.com	2017年2月
aba9a949bc1d.com	2017年3月
ab2da3d400c20.com	2017年4月
ab3520430c23.com	2017年5月
ab1c403220c27.com	2017年6月
ab1abad1d0c2a.com	2017年7月
ab8cee60c2d.com	2017年8月
ab1145b758c30.com	2017年9月
ab890e964c34.com	2017年10月
ab3d685a0c37.com	2017年11月
ab70a139cc3a.com	2017年12月

來源：瑞星