如何進(jìn)行CCleaner惡意代碼分析預(yù)警，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

10年積累的成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有尼元陽免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

2017年9月18日,Piriform 官方發(fā)布安全公告,公告稱旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位應(yīng)用程序被 篡改并植入了惡意代碼。

360CERT經(jīng)過跟蹤分析,確認(rèn)官方描述的版本中確實存在惡意代碼,且該惡意代碼具備執(zhí)行任意代碼的功能,影響嚴(yán)重。 

據(jù)悉,CCleaner 產(chǎn)品的使用者很廣泛,建議使用該產(chǎn)品的用戶盡快進(jìn)行排查升級處理。

0x01 事件影響面

1、影響面

CCleaner 產(chǎn)品的使用者很廣泛,影響面大。 

目前分析,受影響的CCleaner產(chǎn)品中的惡意代碼具備執(zhí)行任意代碼的功能,危害嚴(yán)重。

2、影響版本

CCleaner version 5.33.6162 

CCleaner Cloud version 1.07.3191

3、DNS請求態(tài)勢

0x02 部分技術(shù)信息

據(jù)官方公告,惡意代碼存在于CCleaner.exe程序中,該惡意代碼會接受并執(zhí)行遠(yuǎn)程控制服務(wù)器(C2)發(fā)送過過來的指令,技術(shù)上屬于二階后門類型。

惡意代碼通過TLS(線程局部存儲/Thread Local Storage)回調(diào)處理的方式觸發(fā)執(zhí)行,TLS是一種Windows NT支持的特殊的存儲類別,主要為了支持 程序的構(gòu)造。

存在于TLS回調(diào)中的惡意代碼會先于main函數(shù)執(zhí)行以下操作: 

   1、使用Xor方式解密和解壓硬編碼在程序中的shellcode(10kb大小)

   2、解密出一個被抹掉MZ頭部的DLL(動態(tài)庫)文件(16 KB)

   3、隨后DLL文件被加載和執(zhí)行一個獨立線程,并長期在后臺運行

隨后,被加載運行的DLL代碼基本都是高度混淆的代碼(字符加密,間接API調(diào)用,等)。 具體主要執(zhí)行以下操作:

試圖存儲相關(guān)信息到Windows注冊表中 HKLM\SOFTWARE\Piriform\Agomo:

  MUID: 隨機字符串,不確定是否用于通信;

  TCID: 定時器執(zhí)行周期;

  NID: 控制服務(wù)器地址

試圖收集以下的本地信息:

  主機名

  已安裝軟件列表,包括Windows更新 

  進(jìn)程列表
 前3個網(wǎng)卡的MAC地址 

  檢測進(jìn)程權(quán)限是否管理員權(quán)限,是否64位等

以上信息均已base64的方式進(jìn)行編碼。

編碼后的信息被發(fā)送到一個固定的遠(yuǎn)程IP地址 216[.]126[.]225[.]148 ,通信上采用HTTPS POST和偽造HOST:speccy.piriform.com的方式進(jìn)行傳輸。

接著惡意代碼會接收216[.]126[.]225[.]148發(fā)送回來的二階payload。該二階payload使用base64編碼,可通過一階中的Xor算法進(jìn)行解密。 

為防止該IP失效,惡意代碼還示用了DGA(domain name generator)的方式來躲避跟蹤,目前這些域名已經(jīng)確定不屬于攻擊者控制了。

相關(guān)

DGA生成算法

獲取本地信息

字符串混淆

API間接調(diào)用

搜集非微軟的安裝程序

枚舉系統(tǒng)活動進(jìn)程

Indicators of Compromise (IOCs)

DGA域名列表

日期              域名

2017年01月 abde911dcc16.com

2017年02月 ab6d54340c1a.com

2017年03月 aba9a949bc1d.com

2017年04月 ab2da3d400c20.com

2017年05月 ab3520430c23.com

2017年06月 ab1c403220c27.com

2017年07月 ab1abad1d0c2a.com

2017年08月 ab8cee60c2d.com

2017年09月 ab1145b758c30.com

2017年10月 ab890e964c34.com

2017年11月 ab3d685a0c37.com

2017年12月 ab70a139cc3a.com

2018年01月 abde911dcc16.com

2018年02月 ab99c24c0ba9.com

2018年03月 ab2e1b782bad.com

文件哈希

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

IP地址

216[.]126[.]225[.]148

0x03 安全建議

1. 建議用戶盡快下載最新版本進(jìn)行更新

2. 目前 360安全衛(wèi)士 已經(jīng)更新并能攔截受影響的文件。如您不確定是否受影響,您可以下載360安全衛(wèi)士進(jìn)行安全評估。

看完上述內(nèi)容，你們掌握如何進(jìn)行CCleaner惡意代碼分析預(yù)警的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！