CCleaner 맬웨어 두 번째 페이로드 발견

• 범주: 보안

문제를 제거하기 위해 도구를 사용해보십시오

운영 체제를 선택하십시오 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 투영 프로그램을 선택하십시오 (선택적으로) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

당신의 문제를 설명하십시오

답을 얻으십시오

이메일로 저를 보내주세요 사이트에 표시하십시오

Cisco Talos Group의 새로운 보고서 제안 CCleaner 해킹이 처음에 생각했던 것보다 더 정교하다는 것입니다. 연구원들은 도메인을 기반으로 매우 특정한 그룹을 표적으로 삼은 악성 코드를 분석하는 동안 두 번째 페이로드의 증거를 발견했습니다.

2017 년 9 월 18 일 Piriform보고 회사의 인프라가 약 한 달 동안 악성 버전의 파일 정리 소프트웨어 CCleaner를 배포했습니다.

회사의 인프라가 손상되었고 웹 사이트에서 CCleaner 버전 5.33을 다운로드하거나 자동 업데이트를 사용하여 설치 한 사용자는 시스템에 감염된 버전을 얻었습니다.

시스템에 감염된 버전이 설치되어 있는지 확인하는 방법에 대해 이야기했습니다. 아마도 CCleaner의 버전을 확인하는 것 외에도 HKLM SOFTWARE Piriform Agomo 아래에 레지스트리 키가 있는지 확인하는 것이 가장 좋은 지표 일 것입니다.

Piriform은 사용자가 새 버전으로 업데이트하여 문제를 해결할 수 있다고 빠르게 말했습니다. 맬웨어없는 버전의 CCleaner .

새로운 보고서에 따르면 이것이 충분하지 않을 수 있습니다.

Talos Group은 두 번째 페이로드가있는 특정 도메인 목록을 표적으로 삼았 기 때문에 공격이 더 정교하다는 증거를 발견했습니다.

• singtel.corp.root
• htcgroup.corp
• 삼성 브레다
• 삼성
• samsung.sepm
• samsung.sk
• jp.sony.com
• am.sony.com
• gg.gauselmann.com
• vmware.com
• ger.corp.intel.com
• amr.corp.intel.com
• ntdev.corp.microsoft.com
• cisco.com
• uk.pri.o2.com
• vf-es.internal.vodafone.com
• 링크시스
• apo.epson.net
• msi.com.tw
• infoview2u.dvrdns.org
• dfw01.corp.akamai.com
• hq.gmail.com
• dlink.com
• test.com

연구원들은 공격자가 유명 기술 회사에 속한 도메인 목록을 기반으로 지적 재산을 쫓았다고 제안합니다.

흥미롭게도 지정된 어레이에는 다른 유명 기술 회사와 함께 Cisco의 도메인 (cisco.com)이 포함되어 있습니다. 이것은 귀중한 지적 재산을 추구하는 매우 집중된 행위자를 암시합니다.

Talos Group은 감염 이전에 생성 된 백업을 사용하여 컴퓨터 시스템을 복원 할 것을 제안했습니다. 새로운 증거가이를 뒷받침하고 있으며 연구원들은 악성 코드를 제거하기 위해 단순히 CCleaner를 업데이트하는 것만으로는 충분하지 않을 수 있다고 강력하게 제안합니다.

이러한 발견은 또한이 공급망 공격의 영향을받은 사람들이 단순히 영향을받는 CCleaner 버전을 제거하거나 최신 버전으로 업데이트해서는 안된다는 이전 권장 사항을 뒷받침하고 강화합니다. 백업 또는 이미지 재 작성 시스템에서 복원하여 백도어 버전의 CCleaner뿐만 아니라 시스템에 상주 할 수있는 기타 맬웨어.

2 단계 설치 프로그램은 GeeSetup_x86.dll입니다. 운영 체제의 버전을 확인하고이를 기반으로 시스템에 32 비트 또는 64 비트 버전의 트로이 목마를 설치합니다.

32 비트 트로이 목마는 TSMSISrv.dll이고 64 비트 트로이 목마는 EFACli64.dll입니다.

2 단계 페이로드 식별

다음 정보는 2 단계 페이로드가 시스템에 설치되었는지 식별하는 데 도움이됩니다.

레지스트리 키 :

• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

파일 :

• GeeSetup_x86.dll (해시 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
• EFACli64.dll (해시 : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
• TSMSISrv.dll (해시 : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
• 레지스트리의 DLL : f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
• 2 단계 페이로드 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83