对CCleaner的C2服务器的技术分析 (1.ccleaner)
整理分享对CCleaner的C2服务器的技术分析 (1.ccleaner),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:1.ccleaner,ccleanerexe,ccleanerexe,ccleaner key,ccleaner用法,“ccleaner”,ccleaner哪些可以勾选,ccleanerexe,内容如对您有帮助,希望把内容链接给更多的朋友!
这些新发现提升了我们对这些事件的关心程度,因为我们研究的内容指向了一个未知的、复杂的网络攻击组织。这些研究结果也支持和加强我们以前针对CCleaner的修复建议:针对供应链攻击的防御措施,不应该只是简单地删除机器上受影响的CCleaner版本或更新到最新版本,而应该从备份中恢复或重装*以确保它们完全被删除,因为CCleaner带来的不仅是CCleaner后门也可能是驻留在*中的其他恶意软件。技术细节Web服务器 从C&C服务器获得到的Web目录中包括了许多PHP文件,这些PHP文件负责控制与受感染*的通信。攻击者运用符号链接将请求“index.php”的所有正常流量重定向到包含恶意PHP脚本的“x.php”文件,具体如下图所示: 在分析了PHP文件的内容之后,我们发现C&C服务器实施了一系列的检查以确定是否继续进行攻击*作或者简单地重定向到合法的Piriform网站。C&C服务器会对请求报文的HTTP头、请求方式类型以及服务器端口进行检查,以确认这些请求来自于受感染的主机。 PHP中包含对所定义的“x.php”变量中信息储存所需表的引用,如下图所示: 在init.php文件中声明了db_table变量,该变量允许在攻击者的基础设施上*所需的数据库。以下是“Server”数据库的定义: Web服务器中还包含第二个PHP文件(init.php),在该文件中定义了核心变量、可以运用的*作、数据库配置文件的运用以及变量$xdllname运用的文件名和目录的位置。 下面的信息是从受感染的*收集的,攻击者往往依靠这些数据来确定如何处理这些受感染的主机,这些数据包括*作*的版本信息,*架构信息,用户是否拥有管理员权限以及与*相关的主机名和域名。 *配置信息是相当有用的,其中包括了受害者机器上安装的软件列表以及当前正在运行的进程列表,*配置信息储存在MySQL数据库。 还有一些功能负责在满足预定需要的*上装载和执行第2阶段的有效负载,相似于我们之前在第1阶段分析中的功能。虽然shellcode能够在x和xPE*上运行,但C&C服务器实际上只运用了xPE加载功能。 以下是与PEloaderx版本相关的shellcode。 PHP脚本将*ID和C&C服务器上的$DomainList,$IPList,and$HostList这三个值进行比较,以确定感染的*是否应该被交付第2阶段的有效载荷。php代码如下图所示: 运用基于域的过滤方式可以进一步表明该攻击组织的目标性质。基于储存在MySQL数据库中的*信息,我们能够确认受到后门影响的*数量是巨大的,以及攻击者特意控制哪些被感染的*用于传递第2阶段的有效载荷。之前关于现在还没有*执行阶段2的有效载荷这一报道并不准确,通过分析数据库表中储存的有关第二阶段有效载荷的*信息,我们可以确定现在为止受此有效载荷影响的一共有个主机,我们将在下文对第2阶段有效载荷进行介绍。MySQL数据库 C&C服务器的MySQL数据库中一共有两个表:一个表描述了所有与服务器进行通信的机器,另一个描述了所有接收第二阶段有效载荷的机器,这两个表中保存的数据项的日期都在9月号至9月号之间。通过分析数据表我们发现超过台机器在这段时间与C&C服务器有过通信,超过台机器接收了第二阶段的有效载荷。 在恶意软件执行期间,恶意软件会定时与C&C服务器通信,并发送有关受感染*的*信息。这些信息包括IP*、在线时间、主机名、域名、进程列表以及更多信息等。攻击者很可能会利用这些信息来确定在攻击的最后阶段应该运用哪些机器。 连接数据储存在“Server”表中。以下是该数据库表中Talos主机的示例: 此外,受感染的机器会共享已安装程序的列表,具体如下图所示。 也会获得进程列表,如下图所示。 网络攻击者可以结合上述收集到的数据信息,决定是否启动后期的有效负载,以保证payloads能够在给定的*上无法被安全工具检测以及稳定的运行。 与“Server”数据库表分开储存的第二个数据库表中包含了一个数据集,该数据集与第2阶段接收到有效负载的*相关。该表与“Server”数据库中的表结构比较相似,其结构如下所示: 经过对第二个数据库中的“OK”表进行分析,我们可以肯定的是台机器成功接收到了第2阶段的有效载荷。Talos小组第一时间与受影响的企业取得联系,并通报其可能遭遇的安全违规问题。 通过对“Server”数据库表的分析,我们发现攻击者能够对各种不一样的目标发起网络攻击。考虑到C&C服务器上的过滤,攻击者可以根据他们选择的环境或组织在任何给定的时间添加或删除域名。为了进一步提供关于攻击者选择攻击类型的更多视图,下面的截图显示了数据库表中受感染机器的总条目: 下面的截图显示了世界各地受影响的政府*的数量。 同样,下图显示了世界各地受影响的银行*的数量: Talos小组的研究人员解释称,通过利用基础设施与相关恶意软件的组合,攻击者能够实现上述级别的*能力,此次攻击的严重性与潜在影响不言而喻。第2阶段的有效载荷 geesetup_x.dll是第2阶段的安装程序,此安装程序首先检查*作*的版本,然后释放一个位或位版本的木马工具。x版本运用t*sisrv.dll木马工具,该工具运用与CCleaner后门工具相同的方式释放virtcdrdrv。x版本运用efacli.dll木马工具释放木马文件并命名为symefa,该名称来自于合法的可执行文件SymantecEndpoint中的一部分,他们还在恶意软件中打包了一个合法的二进制程序。此外,安装程序将一个编码的PE文件放入注册表中:HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\ 这样做的目的是想在注册表中*和执行此PE文件,该PE会对其他C&C服务器执行查询*作,并执行内存中的PE文件。这可能使某些*的检测复杂化,因为可执行文件不会直接储存在文件*上。注册表中是一个由木马*文件执行的轻量级的后门模块,这个后门会从github*或WordPress*上获得一个IP*,并从该IP*上下载一个PE模块运行,具体如下图所示:代码重用 结合卡巴斯基研究人员和Talos小组的分析,Cleaner事件当中发现的种种证据同Group这一网络间谍组织连接起来,虽然现在并不确定这一切的幕后黑手就是Group黑客组织,但二者确实共享部分代码,如下图所示:左边: 2bc2deef9ffe1e0eed9c0acf5fbaa1bfe8aaf(CCBkdr.dll)右边: bca4ba3dedc2e1cbbcffbc7b2(Misslbackdoor-APT/Group)结论 供应链攻击在速度和复杂性方面似乎都在增加,但安全公司在对待尚未完全了解的安全事件在严重程度上经常被淡化,这可能不利于保护受害者的利益。因此作为安全公司,我们必须认真对待这些攻击。在这个特殊的例子中,一个相当复杂的攻击组织规划了一个*,该*似乎专门针对科技公司,通过运用供应链攻击给大量的受害者造成损害,并希望在目标网络的计算机上放置一些有效载荷。IndicatorsofCompromise(IOCs)dc9b5e8aa6ecdb8af0a7aacadb3e5f3d2eedb1aaccfdc(GeeSetup_x.dll)acabefbd7cae4ebedabb6f4f(EFACli.dll)fbd2ea9b1bfedef2efbb9fe4adb5eacf3fcf(TSMS*rv.dll)f0d1fcafaaddacbf9cd5a7bdb8cafea标签: 1.ccleaner
本文链接地址:https://www.iopcc.com/jiadian/38295.html转载请保留说明!