欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CCleaner软件入侵攻击木马研究专题.供应链方面的幽灵再次的出现了

来源:本站整理 作者:佚名 时间:2017-09-19 TAG: 我要投稿

最近几天,360网安中间检测到风行体系优化软件CCleaner民间Piriform公司宣布的正轨装置包被植入恶意病毒木马代码,该入侵攻击应用了和前段光阴xshell后门类似的供应链入侵攻击伎俩,这是本年第二起大规模的供应链入侵攻击变乱,该软件在环球有跨越1亿用户应用, 360焦点网安事业部阐发团队检测到该入侵攻击后已第一光阴推送查杀,并阐发捕捉的入侵攻击样本。
入侵攻击光阴轴
2017年8月2日,CCleaner被入侵攻击,民间编译的主法式文件被植入恶意病毒木马代码。
2017年8月3日,CCleaner民间Piriform给被沾染软件打包署名开端对外宣布。
2017年9月12日,Piriform 民间宣布新版软件CCleaner version 5.34去除被净化文件。
2017年9月14日,入侵攻击者注册恶意病毒木马代码中预设的云控域名,开端实行入侵攻击。
2017年9月18日,Piriform 民间宣布网安通知布告,通知布告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191版本软件被窜改并植入了恶意病毒木马代码。

 
入侵攻击样本阐发
此次入侵攻击重要分为代码加载、信息网络和云控入侵攻击三个阶段,上面咱们摘取5.33.6162版本的CCleaner沾染文件停止技巧阐发。
 

代码加载阶段
1.法式在进入Main函数前会提早进入sub_40102C履行此中恶意病毒木马代码。
 

2.经由过程对存在放在0x0082E0A8偏移处的shellcode停止解密。
 

ShellCode
 

shellcode解密代码
3.解密后,获得到一个被抹去DOS头的DLL(静态库文件)
 

信息网络阶段
挪用解密后的DLL模块,恶意病毒木马代码将创立一个自力线程。
 

线程的重要行动:
1.网络当地信息,并对网络到的信息停止加密
 

2.获得CC地点 216[.]126[.]225[.]148

3.将加密信息发送到CC地点,通信上采纳HTTPS POST和捏造host为speccy[.]piriform[.]com的方法停止传输。
 


捏造host
云控入侵攻击阶段
接下来恶意病毒木马代码会接收运转216[.]126[.]225[.]148(今朝已生效)下发的随意率性payload,为了坚持历久的节制,恶意病毒木马代码还应用了DGA(domain name generator)的方法回避追踪,经由过程以下算法每个月天生一个云控域名便利远程节制。

DGA域名列表

总结
经由过程技巧阐发,咱们发明此次的入侵攻击是一整套不亚于xshellghost的供应链入侵攻击木马,这是本年地下的第二起黑客入侵供应链软件商后停止的有组织有预谋的大规模定向入侵攻击,咱们仍将会连续存眷此次入侵攻击的进一步成长,倡议宽大用户应用360网安卫士查杀此次被呈现的供应链软件木马和进攻能够的供应链软件入侵攻击。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载