CCleaner恶意代码分析预警-阿里云开发者社区

CCleaner恶意代码分析预警

2017-09-18 1603

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本文讲的是CCleaner恶意代码分析预警，2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。

本文讲的是 CCleaner恶意代码分析预警，

CCleaner恶意代码分析预警

0x00事件描述

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。[参考1]

360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。

据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。

0x01 事件影响面

1、影响面

CCleaner 产品的使用者很广泛,影响面大。

目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。

2、影响版本

CCleaner version 5.33.6162

CCleaner Cloud version 1.07.3191

3、DNS请求态势

CCleaner恶意代码分析预警

0x02 部分技术信息

注:部分信息来自[参考1]和[参考2]

据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。

恶意代码通过TLS(线程局部存储/Thread Local Storage)回调处理的方式触发执行,TLS是一种Windows NT支持的特殊的存储类别,主要为了支持程序的构造。

存在于TLS回调中的恶意代码会先于main函数执行以下操作:

1、使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)

2、解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)

3、随后DLL文件被加载和执行一个独立线程,并长期在后台运行

随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。具体主要执行以下操作:

试图存储相关信息到Windows注册表中 HKLMSOFTWAREPiriformAgomo:

MUID: 随机字符串,不确定是否用于通信;

TCID: 定时器执行周期;

NID: 控制服务器地址

试图收集以下的本地信息:

主机名

已安装软件列表,包括Windows更新

进程列表
前3个网卡的MAC地址

检测进程权限是否管理员权限,是否64位等

以上信息均已base64的方式进行编码。

编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148 ,通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。

接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。

为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。

CCleaner恶意代码分析预警