CCleaner被感染事件與中國黑客組織APT17有關？

E安全9月22日訊 持續整個夏季並於本周剛剛曝光的CCleaner軟體遭黑客攻擊感染惡意軟體事件造成230萬用戶受到感染，卡巴斯基和思科安全研究人員推測這起事件可能出自於中國網路黑客組織APT17之手，且其目標主要指向西方各科技企業。

CCleaner與Axiom的木馬軟體代碼相似

種種線索將Cleaner事件當中浮現的證據同Axiom這一網路間諜組織連接起來——該組織亦被稱為APT17、ViceDog、Tailgater Team、Hidden Lynx、Voho、Group 72以及AuroraPanda。這些不同的名稱來自將其發現的不同安全廠商。

卡巴斯基實驗室全球研究與分析團隊負責人Rostin Raiu（考斯汀·拉尤）首先發現CCleaner應用程序內惡意代碼與Axiom惡意軟體之間存在關聯。

在CCleaner事件曝光的第二天，Raiu指出CCleaner惡意軟體與此前曾經由Axiom使用的Missl後門木馬存在相似之處。

由思科Talos小組發布的最新的先關報告中，研究人員們也確認了Raiu的這一相似性結論。

思科Talos小組研究員Craig Williams（克雷格·威廉姆斯）在接受郵件採訪時指出，「目前並不能確定這一切的幕後黑手就是Axiom，但二者確實共享部分代碼。」很明顯，他的回應顯示出經驗豐富的安全研究人員在網路間諜活動歸因方面所抱持的謹慎態度。

CCleaner的C&C伺服器正在被調查

除了確認卡巴斯基方面的發現之外，思科Talos小組還表示某第三方向其提供了一份命令與控制伺服器文件副本，該伺服器正是本次從受感染主機上收集設備信息的CCleaner污損版本的發布平台，其中即包含相關資料庫。

惡意版本收集的具體信息包括計算機名稱、已安裝軟體列表、當前運行進程列表、前三個網路介面MAC地址以及每台計算機的惟一ID標識。

思科公司的研究人員們還對自有設備的收集數據進行檢查，從而證明這套資料庫確實真實可信。

初步分析報告認為該惡意軟體能夠下載第二階段有效載荷並執行其它惡意軟體。在對文件進行分析之後，研究人員們意識到CCleaner惡意軟體（Floxif）——的初步分析報告並不成立。在對該C&C伺服器資料庫進行分析之後，研究人員們表示惡意操作者僅利用該功能在全球範圍內感染了20台計算機。

運行在該C&C伺服器上的PHP文件會對用戶及適合下載第二階段惡意軟體（一款輕量化後門）的計算機ID。研究人員們指出，第二階段後門負責「從github.com或者wordpress.com搜索相關數據當中檢索一條IP」，並進一步在目標系統上下載更多惡意軟體。

攻擊者主要針對一份科技企業名單實施行動

思科公司Talos小組解釋稱，攻擊者們根據目標計算機的域名信息選擇受害者。

被攻擊者瞄準的除了思科公司自身之外，還有包括Singtel、HTC、三星、索尼、Gauselmann、英特爾、VMware、O2、沃達豐、Linksys、愛普生、MSI、Akamai、DLink、甲骨文（Dyn）甚至是微軟與谷歌（Gmail）等巨頭級企業。

思科已經與受影響的企業取得聯繫，並通報其可能遭遇的安全違規問題。

研究人員對自己的發現極具信心，因為該C&C伺服器資料庫當中包含兩份主表，其一列出一切受到第一階段惡意軟體（即Floxif，負責面向全部用戶進行信息收集）感染的主機; 其二則持續追蹤全部受到第二階段惡意軟體感染的計算機。

第一份表格中包含超過700萬台計算機的相關數據，而第二份表格在排除重複部分後僅包含20台計算機的相關數據。兩份表格所存儲的條目皆創建於今年9月12日到9月16日之間。

威廉姆斯在採訪中指出，「就目前來看，9月12日之前的數據似乎被刪除掉了。這可能是為了故意限制從伺服器當中導出的信息量。」

思科公司表示，這份資料庫極具實際價值。舉例來說，只需要運行一條簡單的SQL查詢命令，思科研究人員即可發現540台處於政府網路當中的計算機，外加51台處於銀行網路中的計算機。

思科公司研究人員解釋稱，這表明通過利用基礎設施與相關惡意軟體的組合攻擊者們就能夠實現這一級別的訪問能力，此次攻擊的嚴重性與潛在影響不言而喻。

由於C&C伺服器當中的數據尚不完整，且攻擊者下載了一款靜默第二階段下載器，因此運行有污損版本CCleaner軟體的用戶應當將其徹底清除或者恢復至8月15日之前（即兩款污損CCleaner版本發布之前）的備份版本。需要強調的是，此前安全人員給出的建議僅僅是更新現有CCleaner應用程序。

該惡意組織長期針對科技企業

儘管CCleaner黑客活動與Axiom之間的關聯性證據還相當有限，但Axiom組織過去一直專挑科技企業作為攻擊目標。該團隊投入大量精力入侵此類目標，特別是在2010年年初。

而這種攻擊方式也引起了思科、FireEye、F-Secure、微軟、Tenable、ThreatConnect、ThreatTrack Security、Volexity、Novetta以及賽門鐵克等網路安全廠商的重視。

這些企業共同組織起SMN行動，旨在共同努力以揭露該組織使用的工具及技術手段。思科公司Talos小組最近發布的報告亦對IOC以及C&C伺服器文件作出了進一步分析，並表示C＆C伺服器配置使用的是中國時區（PRC）。

而作為CCleaner軟體的開發商，Avast公司也發布了一篇關於此次事件的調查進展博客文章，其中確認了攻擊者主要針對大型科技企業實施攻擊的說法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！