供應鏈攻擊警告：知名清理軟體CCleaner被惡意軟體感染，官網下載也得當心！

E安全9月19日訊 根據Cisco Talos昨日發布的報告，如果大家曾經在今年8月15日到9月12日之間在自己的計算機上通過官方網站下載或者更新CCleaner應用，那麼請務必當心——您的計算機已經受到入侵！

圖1：CCleaner 5.33的屏幕快照

CCleaner是一款免費的系統優化和隱私保護工具，目前已經擁有超過20億次下載量。其由Piriform公司開發並最終被Avast所收購，用於幫助用戶清理計算機系統以優化並增強性能表現。

供應鏈攻擊：官網下載也得當心

來自思科Talos小組的安全研究人員們發現，Avast公司所使用的下載伺服器受到某些未知黑客的入侵，其利用惡意代碼替換了該軟體的原始版本，並在一個月左右時間之內將其散播至數百萬用戶當中。

此次事故無疑是供應鏈攻擊活動的又一次明證。在今年早些時候，一家名為MeDoc的烏克蘭公司同樣遭遇到更新伺服器入侵事故，並因此在全球範圍內大量散播存在嚴重破壞能力的Petya勒索軟體。

Avast與Piriform雙方皆確認稱，32位CCleaner v5.33.6162版本與CCleaner Cloud v1.07.3191版本已經受到該惡意軟體的感染。

根據本月13日的檢測結果，CCleaner的惡意版本當中包含一種多段式惡意軟體載荷，其能夠從受感染的計算機處竊取數據並將信息發送至攻擊者的遠程命令與控制伺服器當中。

此外，這批身份不明的黑客還利用賽門鐵克公司頒發給Piriform的有效數字簽名以及域名生成演算法（簡稱DGA）對惡意安裝可執行文件（v5.33）進行簽名，這意味著一旦攻擊者的伺服器下線，該DGA會生成新的域名以接收並發送失竊信息。

圖2：CCleaner的數字簽名5.33

Piriform公司產品副總裁帕爾·揚（Paul Yung）解釋稱，「所有收集到的信息皆通過base64進行加密與編碼，且帶有一套定製化字母表。編碼信息隨後會通過HTTPS POST請求被提交至216.126.x.x這一外部IP地址（此地址以硬編碼形式嵌入至有效載荷當中，我們在這裡特意隱去了最後兩部分）。」

此惡意軟體通過編程以收集大量用戶數量，具體包括：

· 計算機名稱

· 已安裝軟體列表，包括Windows更新

· 全部運行中進程列表

· IP與MAC地址

· 其它信息，例如某進程是否以管理員許可權運行以及當前系統是否為64位等。

圖3：惡意軟體操作流程

受感染的版本被227萬人使用

根據Talos研究人員們所言，目前CCleanr（或者Crap Cleaner）的每周下載用戶數量約為500萬名，這意味著可能有超過2000萬用戶已經因為該應用的惡意版本而受到感染。

Talos小組指出，「此波攻擊的影響很可能影響到大量系統。CCLeaner宣稱截至2016年11月，其下載總量已經超過20億次，另有報道指出其每周新增用戶量達500萬。」

然而，Piriform方面估算稱，最多只有3%的用戶（227萬用戶）受到該惡意版本的感染。

圖4：CCleanr統計數據

這裡強烈建議受到感染的用戶將CCleaner軟體更新至5.34或者更高版本，從而避免相關計算設備遭到入侵。目前最新版本的下載已經正式開放。

最新版本下載地址：https://www.piriform.com/ccleaner/download

蘋果Mac用戶不會受到影響。

您需要了解的一切以及如何應對

如果您在今年8月15日到9月12日之間在自己的計算機上通過官方網站下載或者更新CCleaner應用，您的計算機已經受到入侵！以下是您需要了解的一切以及如何應對方案：

出什麼事了？

某不知名網路黑客組織入侵了CCleaner基礎設施。

攻擊者向32位CCleaner 5.33.6162版本以及CCleaner Cloud 1.07.3191版本添加了惡意軟體。

這部分文件將影響到曾於今年8月15日到9月12日之間下載CCleaner軟體的用戶。

誰會受到影響？

每一位曾在上述時段之內下載並安裝此受感染版本的用戶都將受到影響。

Avast公司估計受影響設備數字為227萬台。

該惡意軟體會造成哪些麻煩？

這款名為Floxif的惡意軟體會從受感染計算機中收集各類數據，具體包括計算機名稱、已安裝軟體列表、當前運行中進程列表、前三個網路介面的MAC地址以及每台計算機所特有的惟一ID等等。

此惡意軟體還會下載並執行其它惡意軟體，不過Avast方面表示其尚未發現有證據表明攻擊者曾使用這項功能。

該如何解決？

此惡意軟體被嵌入至CCleaner的可執行文件當中。將CCleaner升級至v5.34即可移除舊有可執行文件及該惡意軟體。CCleaner並不會自動更新，因此用戶必須手動下載並安裝CCleaner 5.34。

Avast公司指出，其已經為CCleaner Cloud用戶推送了更新，因此這部分用戶將不會受到影響。目前CCleaner Cloud的清潔版本為1.07.3214。

還有哪些細節？

此惡意軟體只會在用戶使用管理員帳戶時執行。如果您使用低許可權帳戶以安裝CCleaner 5.33，則不會受到影響。不過仍然建議大家更新至5.34版本。

為何反病毒軟體無法發現這一感染？

CCleaner庫當中包含的惡意軟體擁有有效的數字證書籤名。

CCleaner最新版本下載地址：

https://www.piriform.com/ccleaner/download

註：本文由E安全編譯報道,轉載請註明原文地址

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！