其他分享
首页 > 其他分享> > 揭开神秘的面纱:CCleaner APT事件调查

揭开神秘的面纱:CCleaner APT事件调查

作者:互联网

揭开神秘的面纱:CCleaner APT事件调查

TRex 嘶吼专业版

揭开神秘的面纱:CCleaner APT事件调查

我在RSA分享了Avast调查CCleaner APT(高级持续威胁)中的新发现。

去年九月,我们透露CCleaner已成为网络犯罪分子的目标,通过CCleaner安装文件发布恶意软件。修改的安装文件被全球227万名CCleaner客户下载。此后,我们的威胁情报团队一直在调查此事。

自从上个月在SAS发布更新以来,我们已经进一步发现了***者是如何渗入Piriform网络以及他们的隐形策略。在寻找与其他***的相似之处时,我们还分析了老版本的ShadowPad,这是在四台Piriform电脑上发现的网络***平台。我调查显示,ShadowPad之前在韩国以及俄罗斯的被***的计算机上使用过,进行金融交易。

揭开神秘的面纱:CCleaner APT事件调查

CCleaner***:威胁***者如何进入Piriform网络

为了发起CCleaner***,威胁***者首先在2017年3月11日访问了Piriform的网络(Avast收购该公司前四个月),在开发人员个人工作站上使用TeamViewer进行***。他们通过单一登录成功获得访问权限,这意味着他们知道登录凭证。虽然我们不知道***者是如何获得凭证的,只能推测威胁***者使用Piriform工作站用户已泄露的其他服务凭证来访问TeamViewer帐户。

根据日志文件,TeamViewer在当地时间凌晨5点访问,当时PC无人值守,但正在运行。***者试图安装两个恶意DLL,但由于缺乏系统管理权限,这些尝试失败。在第三次尝试中,***者使用VBScript(Microsoft开发的脚本语言)成功删除了payload 。

揭开神秘的面纱:CCleaner APT事件调查

***者试图进入第一台计算机

第二天,2017年3月12日,***者横向移动到第二台计算机上,再次将工作时间(当地时间凌晨4点)以外的无人照管计算机作为目标。***者通过微软的远程桌面服务打开后门,向计算机的注册表传递二进制文件和payload。传播的payload是第二阶段恶意软件的旧版本,已传染给40位CCleaner用户。

揭开神秘的面纱:CCleaner APT事件调查

3月12日向第二台计算机横向移动

两天后,***者又回到了第一台电脑,用老版本的第二阶段恶意软件感染。

揭开神秘的面纱:CCleaner APT事件调查

***者回到第一台计算机,用旧版本的第二阶段恶意软件感染

经过几周的静默之后,下一阶段的payload被交付给第一台受感染的计算机。我们认为威胁***者在静默期间准备了恶意二进制文件。***者利用多种技术***内部网络中的其他计算机,包括使用键盘记录器收集密码,并通过Windows远程桌面应用程序以管理权限登录。payload是臭名昭着的ShadowPad,我们认为它是CCleaner***的第三阶段。它作为一个mscoree.dll库交付给Piriform网络中的四台计算机,包括一个build服务器,将其作为一个.NET运行时库进行屏蔽以免引起注意。存储在磁盘上的库有一个时间戳,显示我们发现的ShadowPad版本是在2017年4月4日编译的。这是在Piriform电脑上安装之前的8天,这意味着它针对***进行了定制,我们在3月和9月的早期博文中也对此进行了描述。

***者在进入Piriform网络五个月之后才将恶意payload隐藏到CCleaner中。 Avast在2017年7月18日收购了Piriform,并于2017年8月2日发布了首款携带payload的CCleaner版本。有趣的是,他们花了很长时间才开始对CCleaner用户发起***。

揭开神秘的面纱:CCleaner APT事件调查

ShadowPad活跃在韩国和俄罗斯

在分析来自Piriform网络的ShadowPad可执行文件后,我们在VirusTotal上查找到了类似的文件。我们找到了两个样本,一个出现在韩国,另一个出现在俄罗斯。

从韩国上传到VirusTotal的样本于2017年12月27日上传。该样本旨在与韩国建国大学的CnC服务器进行通信,很可能是在***电脑上进行的。根据上传样本的方式和信息,我们认为用户将其上传到VirusTotal,而不是安全公司。

揭开神秘的面纱:CCleaner APT事件调查

来自互联网搜索引擎Shodan.io的图片,显示了CnC服务器IP地址上可用的服务;图片来源:Shodan

揭开神秘的面纱:CCleaner APT事件调查

解密的配置,显示***中使用的IP地址;图片来源:Avast

我们在VirusTotal上找到的第二个ShadowPad可执行文件是针对俄罗斯的一台计算机,该计算机属于一个参与公共预算分配的组织。一份提交文件上传了文件名,第二份提交文件上传到了中国的VirusTotal。第一份文件于2017年11月3日提交,第二份文件于2017年11月6日提交。

在第二次提交中,我们发现了一个7ZIP文件,其中包含更多的文件,包括之前的提交,以及来自键盘记录模块的加密日志。我们解密了日志文件,并找到了在各种进程中的按键,例如来自Microsoft Word,Firefox,Windows资源管理器和КриптоПроCSP(CryptoPro CSP)。最有趣的是Firefox用户完成金融交易的日志。我们还找到了一份也是公共记录的合同,以及参与这些流程的员工姓名。

从俄罗斯ShadowPad版本的分析中得出一个有趣的结论是,ShadowPad并是不总是模块化的。在来自俄罗斯的版本中,所有模块都捆绑在一个可执行文件中,而不是单独存储在Windows注册表中(Piriform***的版本)。捆绑版本让我们深入了解***者更全面的模块。***者甚至懒得将其中一些下载到Piriform网络;只有三个在俄罗斯***中使用的插件也用于Piriform***。

揭开神秘的面纱:CCleaner APT事件调查

用于俄罗斯***的ShadowPad模块

俄罗斯***中使用的最古老的恶意可执行文件是在2014年建立的,这意味着它背后的组织可能已经进行了多年的间谍活动。我们在键盘记录器中找到的具体付款信息是公开记录,但***者很可能也访问了敏感信息。

揭开神秘的面纱:CCleaner APT事件调查

网络安全需要成为并购调查的核心部分

韩国和俄罗斯的例子再次强调了ShadowPad长期以来一直很活跃,而且看到了ShadowPad如何彻底监视机构和组织,这是令人恐惧的。

在CCleaner方面,高达227万名CCleaner消费者和企业下载了受感染的CCleaner产品。然后***者在仅有40台由高科技和电信公司运营的PC上安装恶意的第二阶段。没有证据表明可能处于第三阶段的ShadowPad是通过CCleaner分发给40台PC中的任何一台。

对于Avast,CCleaner***有两个关键要点。首先,并购调查必须超越法律和财务问题。公司需要高度关注网络安全,对于我们来说,这已成为收购过程中需要关注的关键领域之一。其次,供应链并不是企业的关键优先事项,但这需要改变。***者将一直试图找到最薄弱的环节,如果一个产品被数百万用户下载,这对他们来说是一个有吸引力的目标。公司需要增加对供应链安全的关注和投资。

揭开神秘的面纱:CCleaner APT事件调查

标签:计算机,ShadowPad,APT,事件调查,Piriform,2017,payload,CCleaner
来源: https://blog.51cto.com/u_15127538/2715806