如何進行CCleaner惡意代碼分析預(yù)警

如何進行CCleaner惡意代碼分析預(yù)警，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

10年積累的成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認識你，你也不認識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有尼元陽免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

2017年9月18日,Piriform 官方發(fā)布安全公告,公告稱旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位應(yīng)用程序被 篡改并植入了惡意代碼。

360CERT經(jīng)過跟蹤分析,確認官方描述的版本中確實存在惡意代碼,且該惡意代碼具備執(zhí)行任意代碼的功能,影響嚴重。 

據(jù)悉,CCleaner 產(chǎn)品的使用者很廣泛,建議使用該產(chǎn)品的用戶盡快進行排查升級處理。

0x01 事件影響面

1、影響面

CCleaner 產(chǎn)品的使用者很廣泛,影響面大。 

目前分析,受影響的CCleaner產(chǎn)品中的惡意代碼具備執(zhí)行任意代碼的功能,危害嚴重。

2、影響版本

CCleaner version 5.33.6162 

CCleaner Cloud version 1.07.3191

3、DNS請求態(tài)勢

0x02 部分技術(shù)信息

據(jù)官方公告,惡意代碼存在于CCleaner.exe程序中,該惡意代碼會接受并執(zhí)行遠程控制服務(wù)器(C2)發(fā)送過過來的指令,技術(shù)上屬于二階后門類型。

惡意代碼通過TLS(線程局部存儲/Thread Local Storage)回調(diào)處理的方式觸發(fā)執(zhí)行,TLS是一種Windows NT支持的特殊的存儲類別,主要為了支持 程序的構(gòu)造。

存在于TLS回調(diào)中的惡意代碼會先于main函數(shù)執(zhí)行以下操作: 

   1、使用Xor方式解密和解壓硬編碼在程序中的shellcode(10kb大小)

   2、解密出一個被抹掉MZ頭部的DLL(動態(tài)庫)文件(16 KB)

   3、隨后DLL文件被加載和執(zhí)行一個獨立線程,并長期在后臺運行

隨后,被加載運行的DLL代碼基本都是高度混淆的代碼(字符加密,間接API調(diào)用,等)。 具體主要執(zhí)行以下操作:

試圖存儲相關(guān)信息到Windows注冊表中 HKLM\SOFTWARE\Piriform\Agomo:

  MUID: 隨機字符串,不確定是否用于通信;

  TCID: 定時器執(zhí)行周期;

  NID: 控制服務(wù)器地址

試圖收集以下的本地信息:

  主機名

  已安裝軟件列表,包括Windows更新 

  進程列表
 前3個網(wǎng)卡的MAC地址 

  檢測進程權(quán)限是否管理員權(quán)限,是否64位等

以上信息均已base64的方式進行編碼。

編碼后的信息被發(fā)送到一個固定的遠程IP地址 216[.]126[.]225[.]148 ,通信上采用HTTPS POST和偽造HOST:speccy.piriform.com的方式進行傳輸。

接著惡意代碼會接收216[.]126[.]225[.]148發(fā)送回來的二階payload。該二階payload使用base64編碼,可通過一階中的Xor算法進行解密。 

為防止該IP失效,惡意代碼還示用了DGA(domain name generator)的方式來躲避跟蹤,目前這些域名已經(jīng)確定不屬于攻擊者控制了。

相關(guān)

DGA生成算法

獲取本地信息

字符串混淆

API間接調(diào)用

搜集非微軟的安裝程序

枚舉系統(tǒng)活動進程

Indicators of Compromise (IOCs)

DGA域名列表

日期              域名

2017年01月 abde911dcc16.com

2017年02月 ab6d54340c1a.com

2017年03月 aba9a949bc1d.com

2017年04月 ab2da3d400c20.com

2017年05月 ab3520430c23.com

2017年06月 ab1c403220c27.com

2017年07月 ab1abad1d0c2a.com

2017年08月 ab8cee60c2d.com

2017年09月 ab1145b758c30.com

2017年10月 ab890e964c34.com

2017年11月 ab3d685a0c37.com

2017年12月 ab70a139cc3a.com

2018年01月 abde911dcc16.com

2018年02月 ab99c24c0ba9.com

2018年03月 ab2e1b782bad.com

文件哈希

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

IP地址

216[.]126[.]225[.]148

0x03 安全建議

---

1. 建議用戶盡快下載最新版本進行更新

2. 目前 360安全衛(wèi)士 已經(jīng)更新并能攔截受影響的文件。如您不確定是否受影響,您可以下載360安全衛(wèi)士進行安全評估。

看完上述內(nèi)容，你們掌握如何進行CCleaner惡意代碼分析預(yù)警的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

分享文章：如何進行CCleaner惡意代碼分析預(yù)警
本文來源：http://bm7419.com/article28/jdihjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、Google、網(wǎng)站維護、標簽優(yōu)化、外貿(mào)建站、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)