CCleaner被感染事件与中国黑客组织APT17有关?
持续整个夏季并于本周刚刚曝光的CCleaner软件遭黑客攻击感染恶意软件事件造成230万用户受到感染,卡巴斯基和思科安全研究人员推测这起事件可能出自于中国网络黑客组织APT17之手,且其目标主要指向西方各科技企业。
CCleaner黑客行为专门针对大型技术企业
CCleaner与Axiom的木马软件代码相似
种种线索将Cleaner事件当中浮现的证据同Axiom这一网络间谍组织连接起来——该组织亦被称为APT17、ViceDog、Tailgater Team、Hidden Lynx、Voho、Group 72以及AuroraPanda。这些不同的名称来自将其发现的不同安全厂商CISP培训。
卡巴斯基实验室全球研究与分析团队负责人Rostin Raiu(考斯汀·拉尤)首先发现CCleaner应用程序内恶意代码与Axiom恶意软件之间存在关联。
在CCleaner事件曝光的第二天,Raiu指出CCleaner恶意软件与此前曾经由Axiom使用的Missl后门木马存在相似之处。
CCleaner黑客行为专门针对大型技术企业
由思科Talos小组发布的最新的先关报告中,研究人员们也确认了Raiu的这一相似性结论。
思科Talos小组研究员Craig Williams(克雷格·威廉姆斯)在接受邮件采访时指出CISP培训,“目前并不能确定这一切的幕后黑手就是Axiom,但二者确实共享部分代码。”很明显,他的回应显示出经验丰富的安全研究人员在网络间谍活动归因方面所抱持的谨慎态度。
CCleaner黑客行为专门针对大型技术企业
CCleaner的C&C服务器正在被调查
除了确认卡巴斯基方面的发现之外,思科Talos小组还表示某第三方向其提供了一份命令与控制服务器文件副本,该服务器正是本次从受感染主机上收集设备信息的CCleaner污损版本的发布平台,其中即包含相关数据库。
恶意版本收集的具体信息包括计算机名称、已安装软件列表、当前运行进程列表、前三个网络接口MAC地址以及每台计算机的惟一ID标识。
思科公司的研究人员们还对自有设备的收集数据进行检查,从而证明这套数据库确实真实可信。
CCleaner的另一项恶意功能并未启用
初步分析报告认为该恶意软件能够下载第二阶段有效载荷并执行其它恶意软件。CISP培训在对文件进行分析之后,研究人员们意识到CCleaner恶意软件(Floxif)——的初步分析报告并不成立。在对该C&C服务器数据库进行分析之后,研究人员们表示恶意操作者仅利用该功能在全球范围内感染了20台计算机。
运行在该C&C服务器上的PHP文件会对用户及适合下载第二阶段恶意软件(一款轻量化后门)的计算机ID。研究人员们指出,第二阶段后门负责“从github.com或者wordpress.com搜索相关数据当中检索一条IP”,并进一步在目标系统上下载更多恶意软件。
攻击者主要针对一份科技企业名单实施行动
思科公司Talos小组解释称,攻击者们根据目标计算机的域名信息选择受害者。
被攻击者瞄准的除了思科公司自身之外,还有包括Singtel、HTC、三星、索尼、Gauselmann、英特尔、VMware、O2、沃达丰、Linksys、爱普生、MSI、Akamai、DLink、甲骨文(Dyn)甚至是微软与谷歌(Gmail)等巨头级企业。
CCleaner黑客行为专门针对大型技术企业
思科已经与受影响的企业取得联系,并通报其可能遭遇的安全违规问题。
研究人员对自己的发现极具信心,因为该C&C服务器数据库当中包含两份主表,CISP培训其一列出一切受到第一阶段恶意软件(即Floxif,负责面向全部用户进行信息收集)感染的主机; 其二则持续追踪全部受到第二阶段恶意软件感染的计算机。
第一份表格中包含超过700万台计算机的相关数据,而第二份表格在排除重复部分后仅包含20台计算机的相关数据。两份表格所存储的条目皆创建于今年9月12日到9月16日之间。
威廉姆斯在采访中指出,“就目前来看,9月12日之前的数据似乎被删除掉了。这可能是为了故意限制从服务器当中导出的信息量。”
攻击者能够针对其想要针对的一切目标
思科公司表示,这份数据库极具实际价值。举例来说,只需要运行一条简单的SQL查询命令,思科研究人员即可发现540台处于政府网络当中的计算机,外加51台处于银行网络中的计算机。
CCleaner黑客行为专门针对大型技术企业
思科公司研究人员解释称,这表明通过利用基础设施与相关恶意软件的组合攻击者们就能够实现这一级别的访问能力,此次攻击的严重性与潜在影响不言而喻。
应采取哪些安全措施?
由于C&C服务器当中的数据尚不完整,且攻击者下载了一款静默第二阶段下载器,因此运行有污损版本CCleaner软件的用户应当将其彻底清除或者恢复至8月15日之前(即两款污损CCleaner版本发布之前)的备份版本。需要强调的是,CISP培训此前安全人员给出的建议仅仅是更新现有CCleaner应用程序。
该恶意组织长期针对科技企业
尽管CCleaner黑客活动与Axiom之间的关联性证据还相当有限,但Axiom组织过去一直专挑科技企业作为攻击目标。该团队投入大量精力入侵此类目标,特别是在2010年年初。
而这种攻击方式也引起了思科、FireEye、F-Secure、微软、Tenable、ThreatConnect、ThreatTrack Security、Volexity、Novetta以及赛门铁克等网络安全厂商的重视。
这些企业共同组织起SMN行动,旨在共同努力以揭露该组织使用的工具及技术手段。思科公司Talos小组最近发布的报告亦对IOC以及C&C服务器文件作出了进一步分析,并表示C&C服务器配置使用的是中国时区(PRC)。
而作为CCleaner软件的开发商,Avast公司也发布了一篇关于此次事件的调查进展博客文章,其中确认了攻击者主要针对大型科技企业实施攻击的说法。