专注于武汉中小企业服务解决方案提供商

电脑维修、布线、安防监控、数据恢复、采购、回收

所属分类 > 家电维修 > 正文

对CCleaner的C2服务器的技术分析 (1.ccleaner)

编辑:rootadmin
TALOS团队最近发表了一篇关于CCleaner使用软件后门的技术分析文章。在调查过程中,我们获得了木马软件C&C服务器上的一个压缩文件。最初,我们认为这些文件是不安全的。然而,通过对Web服务器配置文件,以及对归档文件中包含的MySQL数据库内容的研究,我们能够验证这些文件并不具有恶意行为。  通过分析从C&C服务器上获得到的代码,我们获得到木马软件正在攻击的一个组织列表,其中包括了Cisco。通过对C&C服务器数据库(9月份4天的数据)的审查,我们可以确认至少台受害者的机器下载第二阶段有效载荷并执行其它恶意软件。下面是攻击者试图攻击的域名列表,这些域名中包含了思科的域名(Ciscocom)以及其他高知名度的科技公司。

整理分享对CCleaner的C2服务器的技术分析 (1.ccleaner),希望有所帮助,仅作参考,欢迎阅读内容。

内容相关其他词:1.ccleaner,ccleanerexe,ccleanerexe,ccleaner key,ccleaner用法,“ccleaner”,ccleaner哪些可以勾选,ccleanerexe,内容如对您有帮助,希望把内容链接给更多的朋友!

  这些新发现提升了我们对这些事件的关心程度,因为我们研究的内容指向了一个未知的、复杂的网络攻击组织。这些研究结果也支持和加强我们以前针对CCleaner的修复建议:针对供应链攻击的防御措施,不应该只是简单地删除机器上受影响的CCleaner版本或更新到最新版本,而应该从备份中恢复或重装*以确保它们完全被删除,因为CCleaner带来的不仅是CCleaner后门也可能是驻留在*中的其他恶意软件。技术细节Web服务器  从C&C服务器获得到的Web目录中包括了许多PHP文件,这些PHP文件负责控制与受感染*的通信。攻击者运用符号链接将请求“index.php”的所有正常流量重定向到包含恶意PHP脚本的“x.php”文件,具体如下图所示:

  在分析了PHP文件的内容之后,我们发现C&C服务器实施了一系列的检查以确定是否继续进行攻击*作或者简单地重定向到合法的Piriform网站。C&C服务器会对请求报文的HTTP头、请求方式类型以及服务器端口进行检查,以确认这些请求来自于受感染的主机。

  PHP中包含对所定义的“x.php”变量中信息储存所需表的引用,如下图所示:

  在init.php文件中声明了db_table变量,该变量允许在攻击者的基础设施上*所需的数据库。以下是“Server”数据库的定义:

  Web服务器中还包含第二个PHP文件(init.php),在该文件中定义了核心变量、可以运用的*作、数据库配置文件的运用以及变量$xdllname运用的文件名和目录的位置。  下面的信息是从受感染的*收集的,攻击者往往依靠这些数据来确定如何处理这些受感染的主机,这些数据包括*作*的版本信息,*架构信息,用户是否拥有管理员权限以及与*相关的主机名和域名。

  *配置信息是相当有用的,其中包括了受害者机器上安装的软件列表以及当前正在运行的进程列表,*配置信息储存在MySQL数据库。

  还有一些功能负责在满足预定需要的*上装载和执行第2阶段的有效负载,相似于我们之前在第1阶段分析中的功能。虽然shellcode能够在x和xPE*上运行,但C&C服务器实际上只运用了xPE加载功能。  

  以下是与PEloaderx版本相关的shellcode。对CCleaner的C2服务器的技术分析 (1.ccleaner)

  PHP脚本将*ID和C&C服务器上的$DomainList,$IPList,and$HostList这三个值进行比较,以确定感染的*是否应该被交付第2阶段的有效载荷。php代码如下图所示:

  运用基于域的过滤方式可以进一步表明该攻击组织的目标性质。基于储存在MySQL数据库中的*信息,我们能够确认受到后门影响的*数量是巨大的,以及攻击者特意控制哪些被感染的*用于传递第2阶段的有效载荷。之前关于现在还没有*执行阶段2的有效载荷这一报道并不准确,通过分析数据库表中储存的有关第二阶段有效载荷的*信息,我们可以确定现在为止受此有效载荷影响的一共有个主机,我们将在下文对第2阶段有效载荷进行介绍。MySQL数据库  C&C服务器的MySQL数据库中一共有两个表:一个表描述了所有与服务器进行通信的机器,另一个描述了所有接收第二阶段有效载荷的机器,这两个表中保存的数据项的日期都在9月号至9月号之间。通过分析数据表我们发现超过台机器在这段时间与C&C服务器有过通信,超过台机器接收了第二阶段的有效载荷。  在恶意软件执行期间,恶意软件会定时与C&C服务器通信,并发送有关受感染*的*信息。这些信息包括IP*、在线时间、主机名、域名、进程列表以及更多信息等。攻击者很可能会利用这些信息来确定在攻击的最后阶段应该运用哪些机器。  连接数据储存在“Server”表中。以下是该数据库表中Talos主机的示例:

  此外,受感染的机器会共享已安装程序的列表,具体如下图所示。

  也会获得进程列表,如下图所示。

  网络攻击者可以结合上述收集到的数据信息,决定是否启动后期的有效负载,以保证payloads能够在给定的*上无法被安全工具检测以及稳定的运行。  与“Server”数据库表分开储存的第二个数据库表中包含了一个数据集,该数据集与第2阶段接收到有效负载的*相关。该表与“Server”数据库中的表结构比较相似,其结构如下所示:

  经过对第二个数据库中的“OK”表进行分析,我们可以肯定的是台机器成功接收到了第2阶段的有效载荷。Talos小组第一时间与受影响的企业取得联系,并通报其可能遭遇的安全违规问题。

  通过对“Server”数据库表的分析,我们发现攻击者能够对各种不一样的目标发起网络攻击。考虑到C&C服务器上的过滤,攻击者可以根据他们选择的环境或组织在任何给定的时间添加或删除域名。为了进一步提供关于攻击者选择攻击类型的更多视图,下面的截图显示了数据库表中受感染机器的总条目:

  下面的截图显示了世界各地受影响的政府*的数量。

  同样,下图显示了世界各地受影响的银行*的数量:

  Talos小组的研究人员解释称,通过利用基础设施与相关恶意软件的组合,攻击者能够实现上述级别的*能力,此次攻击的严重性与潜在影响不言而喻。第2阶段的有效载荷  geesetup_x.dll是第2阶段的安装程序,此安装程序首先检查*作*的版本,然后释放一个位或位版本的木马工具。x版本运用t*sisrv.dll木马工具,该工具运用与CCleaner后门工具相同的方式释放virtcdrdrv。x版本运用efacli.dll木马工具释放木马文件并命名为symefa,该名称来自于合法的可执行文件SymantecEndpoint中的一部分,他们还在恶意软件中打包了一个合法的二进制程序。此外,安装程序将一个编码的PE文件放入注册表中:HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\HKLM\Software\Microsoft\WinNT\CurrentVersion\WbemPerf\  这样做的目的是想在注册表中*和执行此PE文件,该PE会对其他C&C服务器执行查询*作,并执行内存中的PE文件。这可能使某些*的检测复杂化,因为可执行文件不会直接储存在文件*上。注册表中是一个由木马*文件执行的轻量级的后门模块,这个后门会从github*或WordPress*上获得一个IP*,并从该IP*上下载一个PE模块运行,具体如下图所示:

代码重用  结合卡巴斯基研究人员和Talos小组的分析,Cleaner事件当中发现的种种证据同Group这一网络间谍组织连接起来,虽然现在并不确定这一切的幕后黑手就是Group黑客组织,但二者确实共享部分代码,如下图所示:左边:  2bc2deef9ffe1e0eed9c0acf5fbaa1bfe8aaf(CCBkdr.dll)右边:  bca4ba3dedc2e1cbbcffbc7b2(Misslbackdoor-APT/Group)

结论  供应链攻击在速度和复杂性方面似乎都在增加,但安全公司在对待尚未完全了解的安全事件在严重程度上经常被淡化,这可能不利于保护受害者的利益。因此作为安全公司,我们必须认真对待这些攻击。在这个特殊的例子中,一个相当复杂的攻击组织规划了一个*,该*似乎专门针对科技公司,通过运用供应链攻击给大量的受害者造成损害,并希望在目标网络的计算机上放置一些有效载荷。IndicatorsofCompromise(IOCs)dc9b5e8aa6ecdb8af0a7aacadb3e5f3d2eedb1aaccfdc(GeeSetup_x.dll)acabefbd7cae4ebedabb6f4f(EFACli.dll)fbd2ea9b1bfedef2efbb9fe4adb5eacf3fcf(TSMS*rv.dll)f0d1fcafaaddacbf9cd5a7bdb8cafea

标签: 1.ccleaner


本文链接地址:https://www.iopcc.com/jiadian/38295.html转载请保留说明!

上一篇:苹果的一剂猛药:Android手机换购iPhone (苹果入药)

下一篇:为手机打造氙气闪光灯 (手机氙气灯有什么用)

推荐内容:

12V插卡扩音机播放MP3声音断续的原因修复 (扩音器插卡不工作是什么原因)

12V插卡扩音机播放MP3声音断续的原因修复 (扩音器插卡不工作是什么原因)

观察,机内用两只TDA做成BTL电路功放,V通过一只稳压后给一块MP3电路板供电。MP3电路板输出L/R声道通过两只kΩ电阻混 ...

电脑重装系统win1064位旗舰版图文教程 (电脑怎么重装系统?)

电脑重装系统win1064位旗舰版图文教程 (电脑怎么重装系统?)

小编得到了一个最好的电脑重装*win教程,大家一听肯定都坐不住了吧?最近询问这个问题的朋友明显多了起来,因此小 ...

Win10安装软件被阻止怎么维修? (win10安装软件被隔离如何解决)

Win10安装软件被阻止怎么维修? (win10安装软件被隔离如何解决)

脑安装一些应用软件来提高办公效率,但是近期有用户遇到了在下载安装软件时被*阻止的情况,为此十分苦恼,不知 ...

怎么电脑重装系统的方法 (怎么电脑重装系统)

怎么电脑重装系统的方法 (怎么电脑重装系统)

免不了会发生一些问题,如电脑感染顽固*木马,杀毒软件查杀不了;安装*时间长了硬盘里的碎片越来越多,运行的速 ...

简述什么软件可以重装系统 (什么软件能)

简述什么软件可以重装系统 (什么软件能)

很多都会遇到安装*或者选择*等等一系列的问题而造成出现问题,所以今天小编给大家说说什么软件可以重装*,一起来 ...

微信电脑版下载教程 (企业微信电脑版下载)

微信电脑版下载教程 (企业微信电脑版下载)

*,而你又不想错过信息,这个时候我们就可以下载微信电脑版,具体步骤下面让我们一起来看一下吧工具/原料:*版 ...

Window7怎么重装系统?Win7系统重装介绍 (windows 7如何重装)

Window7怎么重装系统?Win7系统重装介绍 (windows 7如何重装)

不开电脑,电脑市场中的所有电脑有各种各样牌子的电脑,如果电脑出现问题的话,不容品牌的电脑重装*的方法也是 ...

联想主板怎么进入u盘启动?联想主板按F几选择u盘启动? (联想主板怎么进入pE系统)

联想主板怎么进入u盘启动?联想主板按F几选择u盘启动? (联想主板怎么进入pE系统)

F几选择u盘启动?很多朋友的组装电脑选择了联想主板,现在电脑想要安装*,那么在开机时应该按什么键才可以直接 ...

win11忍者神龟硬盘版玩不了怎么修理 (忍者神龟电脑游戏视频)

win11忍者神龟硬盘版玩不了怎么修理 (忍者神龟电脑游戏视频)

戏,一些win的用户想要回忆这款游戏记忆,但是发现在*中打不开这款游戏,这可能是因为游戏兼容性或是没有开启旧 ...

iPhone升级iOS 11后耗电过快?这些方法可以帮到你! (苹果11更新了系统)

iPhone升级iOS 11后耗电过快?这些方法可以帮到你! (苹果11更新了系统)

新版苹果iOS,iPhone难免会有电池续航能力不够的情形出现。不过,扣除苹果原厂的规划或瑕疵,部份第三方App也可能 ...

Copyright © 2023 武汉电脑维修 All Rights Reserved.

鄂ICP备2023003026号

免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢!邮箱: opceo@qq.com