CCleaner Kötü Amaçlı Yazılımın ikinci yükü keşfedildi
- Kategori: Güvenlik
Cisco'nun Talos Group'tan yeni bir rapor anlaşılacağı CCleaner saldırısının başlangıçta düşünüldüğünden daha karmaşık olduğu. Araştırmacılar, etki alanlarına göre çok özel grupları hedefleyen kötü amaçlı yazılım analizleri sırasında ikinci bir yükün kanıtını buldular.
18 Eylül 2017'de Piriform bildirildi şirketin altyapısının dosya temizleme yazılımı CCleaner'ın kötü amaçlı bir sürümünü yaklaşık bir ay boyunca dağıttığını söyledi.
Şirketin altyapısı tehlikeye atıldı ve web sitesinden CCleaner'ın 5.33 sürümünü indiren veya yüklemek için otomatik güncellemeleri kullanan kullanıcılar, virüslü sürümü sistemlerine aldı.
Sistemde virüslü bir sürümün yüklü olup olmadığını belirleme yöntemlerinden bahsettik. Muhtemelen en iyi gösterge, CCleaner'in sürümünü kontrol etmenin dışında, HKLM SOFTWARE Piriform Agomo altında Kayıt defteri anahtarlarının varlığını kontrol etmektir.
Piriform, kullanıcıların sorunu yeni sürüme güncelleyerek çözebileceklerini hızlıca ifade etti. CCleaner'ın kötü amaçlı yazılım içermeyen sürümü .
Yeni bir rapor, bunun yeterli olmayabileceğini öne sürüyor.
Talos Group, ikinci bir yük ile belirli bir etki alanı listesini hedeflediği için saldırının daha karmaşık olduğuna dair kanıt buldu.
- singtel.corp.root
- htcgroup.corp
- samsung-breda
- samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Araştırmacılar, yüksek profilli teknoloji şirketlerine ait alan adları listesine göre saldırganın fikri mülkiyetin peşinde olduğunu öne sürüyor.
İlginç bir şekilde, belirtilen dizi, diğer yüksek profilli teknoloji şirketleriyle birlikte Cisco'nun alanını (cisco.com) içerir. Bu, değerli fikri mülkiyetten sonra çok odaklanmış bir aktör olduğunu düşündürür.
Talos Group, enfeksiyondan önce oluşturulan bir yedeği kullanarak bilgisayar sistemini geri yüklemeyi önerdi. Yeni kanıtlar bunu güçlendiriyor ve araştırmacılar, kötü amaçlı yazılımdan kurtulmak için CCleaner'ı güncellemenin yeterli olmayabileceğini kuvvetle belirtiyor.
Bu bulgular ayrıca, bu tedarik zinciri saldırısından etkilenenlerin yalnızca etkilenen CCleaner sürümünü kaldırmamaları veya en son sürüme güncelleme yapmamaları, aynı zamanda yedeklerden veya yeniden görüntü sistemlerinden geri yüklemeleri ve yalnızca CCleaner'ın arka kapılı sürümü ve ayrıca sistemde yerleşik olabilecek diğer kötü amaçlı yazılımlar.
Aşama 2 yükleyicisi GeeSetup_x86.dll'dir. İşletim sisteminin sürümünü kontrol eder ve denetime dayalı olarak sisteme truva atının 32 bit veya 64 bit sürümünü yerleştirir.
32-bit truva atı TSMSISrv.dll, 64-bit truva atı ise EFACli64.dll'dir.
Aşama 2 Yüklerini Tanımlama
Aşağıdaki bilgiler, sisteme 2. aşama yük yerleştirilip yerleştirilmediğini belirlemeye yardımcı olur.
Kayıt Anahtarları:
- HKLM Yazılım Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Yazılım Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Yazılım Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Yazılım Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM Yazılım Microsoft Windows NT CurrentVersion WbemPerf HBP
Dosyalar:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Karma: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Karma: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- Kayıt defterindeki DLL: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Aşama 2 Yükü: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83