CCleaner恶意代码分析预警 (恶意软件清除代码)

整理分享CCleaner恶意代码分析预警 (恶意软件清除代码)，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:ccleaner安全问题,ccleaner报毒,ccleaner exe,ccleaner安全问题,ccleaner exe,ccleaner安全问题,ccleaner报毒,恶意代码怎么清除,内容如对您有帮助，希望把内容链接给更多的朋友！

0x事件描述　　年9月日，Piriform官方发布安全公告，公告称旗下的CCleanerversion5..和CCleanerCloudversion1..中的位使用程序被篡改并植入了恶意代码。[参考1]　　CERT经过*分析，确认官方描述的版本中确实存在恶意代码，且该恶意代码具备执行任意代码的功能，影响严重。　　据悉，CCleaner产品的运用者很广泛，建议运用该产品的用户尽快进行排查升级处理。0x事件影响面影响面　　CCleaner产品的运用者很广泛，影响面大。　　现在分析，受影响的CCleaner产品中的恶意代码具备执行任意代码的功能，危害严重。影响版本CCleanerversion5..CCleanerCloudversion1..DNS请求态势

注：该图来自网络安全研究院0x部分技术信息　　注：部分信息来自[参考1]和[参考2]　　据官方公告，恶意代码存在于CCleaner.exe程序中，该恶意代*接受并执行远程控*务器(C2)发送过过来的指令，技术上属于二阶后门类型。　　恶意代码通过TLS（线程局部储存/ThreadLocalStorage）回调处理的方式触发执行，TLS是一种WinNT支持的特殊的储存类别，主要为了支持程序的构造。存在于TLS回调中的恶意代*先于main函数执行以下*作：　　1.运用Xor方式解密和解压硬编码在程序中的shellcode(kb大小)　　2.解密出一个被抹掉MZ头部的DLL(动态库)文件(KB)　　3.随后DLL文件被加载和执行一个*线程，并长期在后台运行　　4.随后，被加载运行的DLL代码基本都是高度混淆的代码（字符加密，间接API调用，等）。具体主要执行以下*作：　　1.试图储存相关信息到Win注册表中HKLM\SOFTWARE\Piriform\Agomo：　　2.MUID:随机字符串，不确定是否用于通信；　　3.TCID:定时器执行周期；　　4.NID:控*务器*试图收集以下的本地信息：　　1.主机名　　2.已安装软件列表，包括Win更新　　3.进程列表　　4.前3个网卡的MAC*　　5.检测进程权限是否管理员权限，是否位等以上信息均已base的方式进行编码。　　编码后的信息被发送到一个固定的远程IP*[.][.][.]，通信上采用HTTPSPOST和伪造HOST:speccy.piriform*的方式进行传输。　　接着恶意代*接收[.][.][.]发送回来的二阶payload。该二阶payload运用base编码，可通过一阶中的Xor算法进行解密。　　为防止该IP失效，恶意代码还示用了DGA(domainnamegenerator)的方式来躲避*，现在这些域名已经确定不属于攻击者控制了。DGA生成算法

获得本地信息

字符串混淆

API间接调用

搜集非微软的安装程序

枚举*活动进程

IndicatorsofCompromise(IOCs)域名*日期域名DGA域名列表年月abdedcc*年月ab6dc1a*年月aba9abc1d*年月ab2da3dc*年月abc*年月ab1cc*年月ab1abad1d0c2a*年月ab8ceec2d*年月abbc*年月abec*年月ab3da0c*年月abacc3a*年月abdedcc*年月abcc0ba9*年月ab2e1bbad*文件哈希6fcfdcebb8adad0e9addab9ff0aa4ad7b2ccb3efcf9ebfb9a2ad0fdbcfffbeee0ad2cbbedce1c8cea0bfdb2e9IP*[.][.][.]x安全建议　　1.建议用户尽快下载最新版本进行更新　　下载链接：　　2.现在安全卫士已经更新并能*受影响的文件。如您不确定是否受影响，您可以下载安全卫士进行安全评估。0x时间线--事件披露--CERT发布预警通告0x参考链接　　1.SecurityNotificationforCCleanerv5..andCCleanerCloudv1..for-bitWinusers　　　　2.SecurityNotificationforCCleanerv5..andCCleanerCloudv1..for-bitWinusers