CCLeaner黑客攻击事件续:中国台湾成受感染重灾区
E安全9月27日讯 Avast公司公布了CCleaner第二阶段恶意软件影响企业的完整清单,而这项工作正是上周发生的CCleaner攻击活动持续调查的重要组成部分。
发现第二台攻击者使用的服务器
Avast公司之所以能够整理出这份受影响企业的完整清单,是因为其成功在上周末发现了攻击者使用的第二台服务器。
上周五,Avast公司发布了关于CCleaner黑客攻击活动的调查更新结果,并表示其已经掌握了CCleaner恶意软件发送受感染主机信息时所使用的服务器数据库。但遗憾的是,该服务器数据库当中所包含的信息仅囊括今年9月12日至9月16日期间的受感染用户。Avast方面指出,由于存储容量不足,该容纳受感染用户信息的数据库于9月10日发生崩溃。
黑客们于9月12日安装了一台新服务器,Avast公司则在执法机构的帮助之下于9月15日将其发现。这台主服务器的IP地址为 216.126.x.x(我们在这里特意隐去了最后两部分)。
备份数据库的服务器被发现
Avast方面表示在经过进一步挖掘之后,他们找到了第二台被用于进行原始数据库备份的服务器,且其中存储的内容源自起始到重新安装主服务器这一时间范围。
Avast公司指出,这第二台服务器的IP地址为216.126.x.x,与第一台服务器拥有同样的托管服务商。该托管服务商ServerCrate公司向Avast提供了与第二台服务器相关的信息及支持。因此,调查人员们现在掌握了一份受CCleaner恶意软件影响的各主机的完整清单包括第一与第二阶段(但不包括该服务器遭遇中断的40小时时间窗口)。
已确认受感染的设备数量为1646536台
黑客方面于今年7月入侵CCleaner基础设施,并在8月15日到9月12日之间致使CCleaner官方网站交付已受恶意软件感染的应用版本。Avast公司指出,在这一时间段,全球共有227万用户下载该CCleaner应用的恶意版本。
而根据两套C&C服务器数据库中提供的数据,即报告回该C&C服务器的次数,Avast方面断言Floxif第一阶段恶意软件的感染计算机总量为164万6536台。
第二阶段恶意载荷共感染40台计算机
恶意攻击的第二阶段,一款轻量级后门负责“从github.com或者wordpress.com搜索相关数据当中检索一条IP”,并进一步在目标系统上下载更多恶意软件。
上周,Avast与思科双方指出,仅有20台计算机受到第二阶段恶意软件影响。经过严格的过滤,Avast公司又发现另外20台受到第二阶段影响的设备。也就是说这些C&C服务器总共仅向160万台受感染计算机当中的40台发送了第二阶段恶意软件(轻量级后门)。
而Avast公司在今天发布的表格中透露了各企业受到感染的情况,具体如下所示:
根据以上表格,大多数受感染主机——总计13台计算机——位于中国台湾地区的互联网服务供应商中华电信的网络上。占比位列第二的是日本IT厂商NEC公司,感染计算机数量为10台;而三星公司被感染的设备数量为5台。
华硕、富士通以及索尼公司各有两台计算机感染了第二阶段恶意载荷,而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特尔以及VMware公司处各发现了一台受感染计算机。
以上表格仅列出了成功感染案例。事实上,该C&C服务器被用于对特定网络进行过滤,从而有针对性地对目标进行感染。
上周检获的服务器过滤规则所针对的企业包括谷歌、微软、HTC、三星、英特尔、索尼、VMware、O2、沃达丰、Linksys、爱普生、微星、Akamai、DLink、甲骨文(Dyn)、Gauselmann以及Singtel等。
来自备份服务器的过滤规则显示,在今年9月10日之前,攻击者们还曾经使用一份有所区别的攻击目标清单,其中包含HTC、Linksys、爱普生、沃达丰、微软、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。
研究人员们指出,以上过滤条件仅为备份时的版本。而在今年8月15日到9月10日之间,攻击者们很可能曾将矛头指向其它企业。
Avast提出幕后黑手为中国APT的理论
另外,Avast公司确认其发现相关证据,能够将攻击方与中国联系起来。卡巴斯基与思科也曾在上周发布类似的观点,暗示称此轮攻击可能与Axiom( APT17)有所关联。
具体线索则包括在C&C服务器上发现的PHP代码、myPhpAdmin日志以及与以往Axiom恶意软件类似的特定代码片段等等。
Avast公司同时指出,在对两台服务器上的登录记录进行全面分析之后,发现登录活动模式符合俄罗斯东部、中国以及印度时区的作息时间。
但尽管如此,归因工作仍然难度极大。Avast公司解释称,“这一切迹象的核心难题在于,相关证据都极易进行伪造。因此,攻击者可能打算借此提升调查工作难度,从而隐藏真正的攻击源头。”
时间线
随着新信息的出现,以下是最新事件时间表。
7月3日 ⮞ 攻击者入侵Piriform基础设施。
7月19日 ⮞ Avast公司宣布收购Piriform,即CCleaner背后的开发商。
7月31日, 06:32 ⮞ 攻击者安装C&C服务器。
8月11日,07:36 ⮞ 攻击者启动数据收集规程的筹备工作,旨在为8月15日的CCleaner二进制代码感染与随后的CCleaner Cloud二进制代码感染作好准备。
8月15日 ⮞ Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.
8月20日到21日 ⮞ Morphisec公司的安全产品检测并阻止首例CCleaner恶意活动实例,但却未能发现这起活动重要内幕。
8月24日 ⮞ Piriform公司发布CCLeaner Cloud v1.07.3191,其中同样包含有Floxif木马。
9月10日 20:59 ⮞ C&C服务器存储空间不足,因此数据收集亦告停止。攻击者对原始数据库进行了备份。
9月 11日 ⮞ Morphisec公司客户与该公司工程师们共享了与CCleaner相关的恶意活动日志细节。
9月12日 07:56 ⮞ 攻击者擦除C&C服务器。
9月 12 日08:02 ⮞ 攻击者重新安装C&C服务器。
9月12日 ⮞ Morphisec公司向Avast与思科通报了CCleaner的可疑活动。Avast方面立即开始调查,并向美国执行机构发出通告。思科公司也很快组织起自己的调查工作。
9月14日 ⮞ 思科公司向Avast公布其调查结果。
9月15日 ⮞ 当局发现C&C服务器。
9月15日 ⮞ Avast公司发布CCleaner 5.34与CCleaner Cloud 1.07.3214两套清洁版本。
9月18日 ⮞ CCleaner事件伴随着思科、Morphisec以及Avast/Piriform报告的发布而正式公开。
9月(具体未知)⮞ ServerCrate公司为Avast提供一套备份服务器副本。
Avast公司还在其最新报告当中发布了一份IOC(入侵指标)修订清单。各位系统管理员可以利用这些IOC搜索,了解自身网络的感染状况。
需防范CCleaner被感染事件再次发生
近日发生的文件清理工具 CCleaner 被黑客植入后门程序事是 2017 年以来第二起黑客入侵供应链软件商后进行大规模定向攻击事件。通常情况下,我们认为只要从受信任的应用商店中安装应用程序就可以避免被植入恶意程序,但此次供应链攻击事件,让我们不得不面对一个现实,那就是黑客已经将恶意软件植入到受信供应商的软件之中,从而达到对用户进行勒索、盗取隐私的目的。这起网络攻击事件也打破了消费者对软件公司的信任,因为单从此次攻击事件来看,坚持使用可信软件来源的用户与那些随意安装软件的用户,他们的计算机网络都是一样的脆弱。从目前来看,最好的应对方法只有深入了解你所使用电脑软件的公司是否具备较强的网络安全防御能力,下载那些网络防护能力强的公司旗下的软件,从而避免被植入后门程序。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1314974539.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容