新闻快讯
< >

​Avast发布受CCLeaner第二阶段恶意软件影响的企业完整清单

E安全9月27日讯 Avast公司公布了CCleaner第二阶段恶意软件影响企业的完整清单,而这项工作正是上周发生的CCleaner攻击活动持续调查的重要组成部分。

发现第二台攻击者使用的服务器

Avast公司之所以能够整理出这份受影响企业的完整清单,是因为其成功在上周末发现了攻击者使用的第二台服务器。

 Avast发布受CCLeaner第二阶段恶意软件影响的企业完整清单-E安全

上周五,Avast公司发布了关于CCleaner黑客攻击活动的调查更新结果,并表示其已经掌握了CCleaner恶意软件发送受感染主机信息时所使用的服务器数据库。但遗憾的是,该服务器数据库当中所包含的信息仅囊括今年9月12日至9月16日期间的受感染用户。Avast方面指出,由于存储容量不足,该容纳受感染用户信息的数据库于9月10日发生崩溃。

黑客们于9月12日安装了一台新服务器,Avast公司则在执法机构的帮助之下于9月15日将其发现。这台主服务器的IP地址为 216.126.x.x(我们在这里特意隐去了最后两部分)。

备份数据库的服务器被发现

Avast方面表示在经过进一步挖掘之后,他们找到了第二台被用于进行原始数据库备份的服务器,且其中存储的内容源自起始到重新安装主服务器这一时间范围。

Avast公司指出,这第二台服务器的IP地址为216.126.x.x,与第一台服务器拥有同样的托管服务商。该托管服务商ServerCrate公司向Avast提供了与第二台服务器相关的信息及支持。因此,调查人员们现在掌握了一份受CCleaner恶意软件影响的各主机的完整清单包括第一与第二阶段(但不包括该服务器遭遇中断的40小时时间窗口)。

已确认受感染的设备数量为1646536台

黑客方面于今年7月入侵CCleaner基础设施,并在8月15日到9月12日之间致使CCleaner官方网站交付已受恶意软件感染的应用版本。Avast公司指出,在这一时间段,全球共有227万用户下载该CCleaner应用的恶意版本。

而根据两套C&C服务器数据库中提供的数据,即报告回该C&C服务器的次数,Avast方面断言Floxif第一阶段恶意软件的感染计算机总量为164万6536台。

第二阶段恶意载荷共感染40台计算机

恶意攻击的第二阶段,一款轻量级后门负责“从github.com或者wordpress.com搜索相关数据当中检索一条IP”,并进一步在目标系统上下载更多恶意软件。

上周,Avast与思科双方指出,仅有20台计算机受到第二阶段恶意软件影响。经过严格的过滤,Avast公司又发现另外20台受到第二阶段影响的设备。也就是说这些C&C服务器总共仅向160万台受感染计算机当中的40台发送了第二阶段恶意软件(轻量级后门)。

而Avast公司在今天发布的表格中透露了各企业受到感染的情况,具体如下所示:

 Avast发布受CCLeaner第二阶段恶意软件影响的企业完整清单-E安全

根据以上表格,大多数受感染主机——总计13台计算机——位于中国台湾地区的互联网服务供应商中华电信的网络上。占比位列第二的是日本IT厂商NEC公司,感染计算机数量为10台;而三星公司被感染的设备数量为5台。

华硕、富士通以及索尼公司各有两台计算机感染了第二阶段恶意载荷,而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特尔以及VMware公司处各发现了一台受感染计算机。

以上表格仅列出了成功感染案例。事实上,该C&C服务器被用于对特定网络进行过滤,从而有针对性地对目标进行感染。

上周检获的服务器过滤规则所针对的企业包括谷歌、微软、HTC、三星、英特尔、索尼、VMware、O2、沃达丰、Linksys、爱普生、微星、Akamai、DLink、甲骨文(Dyn)、Gauselmann以及Singtel等。

来自备份服务器的过滤规则显示,在今年9月10日之前,攻击者们还曾经使用一份有所区别的攻击目标清单,其中包含HTC、Linksys、爱普生、沃达丰、微软、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。

 Avast发布受CCLeaner第二阶段恶意软件影响的企业完整清单-E安全

研究人员们指出,以上过滤条件仅为备份时的版本。而在今年8月15日到9月10日之间,攻击者们很可能曾将矛头指向其它企业。

Avast提出幕后黑手为中国APT的理论

另外,Avast公司确认其发现相关证据,能够将攻击方与中国联系起来。卡巴斯基与思科也曾在上周发布类似的观点,暗示称此轮攻击可能与Axiom( APT17)有所关联。

具体线索则包括在C&C服务器上发现的PHP代码、myPhpAdmin日志以及与以往Axiom恶意软件类似的特定代码片段等等。

Avast公司同时指出,在对两台服务器上的登录记录进行全面分析之后,发现登录活动模式符合俄罗斯东部、中国以及印度时区的作息时间。

但尽管如此,归因工作仍然难度极大。Avast公司解释称,“这一切迹象的核心难题在于,相关证据都极易进行伪造。因此,攻击者可能打算借此提升调查工作难度,从而隐藏真正的攻击源头。”

 Avast发布受CCLeaner第二阶段恶意软件影响的企业完整清单-E安全

时间线

随着新信息的出现,以下是最新事件时间表。

  • 7月3日 ⮞ 攻击者入侵Piriform基础设施。

  • 7月19日 ⮞ Avast公司宣布收购Piriform,即CCleaner背后的开发商。

  • 7月31日, 06:32  ⮞ 攻击者安装C&C服务器。

  • 8月11日,07:36  ⮞  攻击者启动数据收集规程的筹备工作,旨在为8月15日的CCleaner二进制代码感染与随后的CCleaner Cloud二进制代码感染作好准备。

  • 8月15日 ⮞ Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.

  • 8月20日到21日 ⮞ Morphisec公司的安全产品检测并阻止首例CCleaner恶意活动实例,但却未能发现这起活动重要内幕。

  • 8月24日 ⮞ Piriform公司发布CCLeaner Cloud v1.07.3191,其中同样包含有Floxif木马。

  • 9月10日 20:59  ⮞  C&C服务器存储空间不足,因此数据收集亦告停止。攻击者对原始数据库进行了备份。

  • 9月 11日 ⮞ Morphisec公司客户与该公司工程师们共享了与CCleaner相关的恶意活动日志细节。

  • 9月12日 07:56  ⮞  攻击者擦除C&C服务器。

  • 9月 12 日08:02  ⮞  攻击者重新安装C&C服务器。

  • 9月12日 ⮞ Morphisec公司向Avast与思科通报了CCleaner的可疑活动。Avast方面立即开始调查,并向美国执行机构发出通告。思科公司也很快组织起自己的调查工作。

  • 9月14日 ⮞ 思科公司向Avast公布其调查结果。

  • 9月15日  ⮞  当局发现C&C服务器。

  • 9月15日 ⮞ Avast公司发布CCleaner 5.34与CCleaner Cloud 1.07.3214两套清洁版本。

  • 9月18日 ⮞ CCleaner事件伴随着思科、Morphisec以及Avast/Piriform报告的发布而正式公开。

  • 9月(具体未知)⮞ ServerCrate公司为Avast提供一套备份服务器副本。

Avast公司还在其最新报告当中发布了一份IOC(入侵指标)修订清单。各位系统管理员可以利用这些IOC搜索,了解自身网络的感染状况。

相关阅读:

CCleaner被感染事件与中国黑客组织APT17有关?
CCleaner被感染恶意软件事件——您需要了解的一切以及如何应对
警告:CCleaner被用于散播恶意软件,超过230万用户受到感染

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。