概述
近日,360安全中心檢測到流行系統優化軟件CCleaner官方Piriform公司發布的正規安裝包被植入惡意代碼,該攻擊使用了和前段時間xshell後門類似的供應鏈攻擊手法,這是今年第二起大規模的供應鏈攻擊事件,該軟件在全球有超過1億用戶使用, 360核心安全事業部分析團隊檢測到該攻擊后已第一時間推送查殺,並分析捕獲的攻擊樣本。
攻擊時間軸
2017年8月2日,CCleaner被攻擊,官方編譯的主程序文件被植入惡意代碼。
2017年8月3日,CCleaner官方Piriform給被感染軟件打包簽名開始對外發布。
2017年9月12日,Piriform 官方發布新版軟件CCleaner version 5.34去除被污染文件。
2017年9月14日,攻擊者註冊惡意代碼中預設的雲控域名,開始實施攻擊。
2017年9月18日,Piriform 官方發布安全公告,公告稱旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191版本軟件被篡改並植入了惡意代碼。
攻擊樣本分析
此次攻擊主要分為代碼加載、信息收集和雲控攻擊三個階段,下面我們摘取5.33.6162版本的CCleaner感染文件進行技術分析。
代碼加載階段
1.程序在進入Main函數前會提前進入sub_40102C執行其中惡意代碼。
2.通過對存在放在0x0082E0A8偏移處的shellcode進行解密。
ShellCode
shellcode解密代碼
3.解密后,獲取到一個被抹去DOS頭的DLL(動態庫文件)
信息收集階段
調用解密后的DLL模塊,惡意代碼將創建一個獨立線程。
線程的主要行為:
1.收集本地信息,並對收集到的信息進行加密
2.獲取CC地址 216[.]126[.]225[.]148
3.將加密信息發送到CC地址,通信上採用HTTPS POST和偽造host為speccy[.]piriform[.]com的方式進行傳輸。
偽造host
雲控攻擊階段
接下來惡意代碼會接受運行216[.]126[.]225[.]148(目前已失效)下發的任意payload,為了保持長期的控制,惡意代碼還使用了DGA(domain name generator)的方式躲避追蹤,通過下列算法每個月生成一個雲控域名方便遠程控制。
DGA域名列表
總結
通過技術分析,我們發現這次的攻擊是一整套不亞於xshellghost的供應鏈攻擊木馬,這是今年公開的第二起黑客入侵供應鏈軟件商後進行的有組織有預謀的大規模定向攻擊,我們仍將會持續關注此次攻擊的進一步發展,建議廣大用戶使用360安全衛士查殺此次被出現的供應鏈軟件木馬和防禦可能的供應鏈軟件攻擊。
本文由 安全客 原創發布,如需轉載請註明來源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4448.html