CCLeaner黑客攻擊事件續：中國台灣成受感染重災區

E安全9月27日訊 Avast公司公布了CCleaner第二階段惡意軟體影響企業的完整清單，而這項工作正是上周發生的CCleaner攻擊活動持續調查的重要組成部分。

發現第二台攻擊者使用的伺服器

Avast公司之所以能夠整理出這份受影響企業的完整清單，是因為其成功在上周末發現了攻擊者使用的第二台伺服器。

上周五，Avast公司發布了關於CCleaner黑客攻擊活動的調查更新結果，並表示其已經掌握了CCleaner惡意軟體發送受感染主機信息時所使用的伺服器資料庫。但遺憾的是，該伺服器資料庫當中所包含的信息僅囊括今年9月12日至9月16日期間的受感染用戶。Avast方面指出，由於存儲容量不足，該容納受感染用戶信息的資料庫於9月10日發生崩潰。

黑客們於9月12日安裝了一台新伺服器，Avast公司則在執法機構的幫助之下於9月15日將其發現。這台主伺服器的IP地址為 216.126.x.x（我們在這裡特意隱去了最後兩部分）。

Avast方面表示在經過進一步挖掘之後，他們找到了第二台被用於進行原始資料庫備份的伺服器，且其中存儲的內容源自起始到重新安裝主伺服器這一時間範圍。

Avast公司指出，這第二台伺服器的IP地址為216.126.x.x，與第一台伺服器擁有同樣的託管服務商。該託管服務商ServerCrate公司向Avast提供了與第二台伺服器相關的信息及支持。因此，調查人員們現在掌握了一份受CCleaner惡意軟體影響的各主機的完整清單包括第一與第二階段（但不包括該伺服器遭遇中斷的40小時時間窗口）。

已確認受感染的設備數量為1646536台

黑客方面於今年7月入侵CCleaner基礎設施，並在8月15日到9月12日之間致使CCleaner官方網站交付已受惡意軟體感染的應用版本。Avast公司指出，在這一時間段，全球共有227萬用戶下載該CCleaner應用的惡意版本。

而根據兩套C&C伺服器資料庫中提供的數據，即報告回該C&C伺服器的次數，Avast方面斷言Floxif第一階段惡意軟體的感染計算機總量為164萬6536台。

惡意攻擊的第二階段，一款輕量級後門負責「從github.com或者wordpress.com搜索相關數據當中檢索一條IP」，並進一步在目標系統上下載更多惡意軟體。

上周，Avast與思科雙方指出，僅有20台計算機受到第二階段惡意軟體影響。經過嚴格的過濾，Avast公司又發現另外20台受到第二階段影響的設備。也就是說這些C&C伺服器總共僅向160萬台受感染計算機當中的40台發送了第二階段惡意軟體（輕量級後門）。

而Avast公司在今天發布的表格中透露了各企業受到感染的情況，具體如下所示：

根據以上表格，大多數受感染主機——總計13台計算機——位於中國台灣地區的互聯網服務供應商中華電信的網路上。佔比位列第二的是日本IT廠商NEC公司，感染計算機數量為10台；而三星公司被感染的設備數量為5台。

華碩、富士通以及索尼公司各有兩台計算機感染了第二階段惡意載荷，而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特爾以及VMware公司處各發現了一台受感染計算機。

以上表格僅列出了成功感染案例。事實上，該C&C伺服器被用於對特定網路進行過濾，從而有針對性地對目標進行感染。

上周檢獲的伺服器過濾規則所針對的企業包括谷歌、微軟、HTC、三星、英特爾、索尼、VMware、O2、沃達豐、Linksys、愛普生、微星、Akamai、DLink、甲骨文（Dyn）、Gauselmann以及Singtel等。

來自備份伺服器的過濾規則顯示，在今年9月10日之前，攻擊者們還曾經使用一份有所區別的攻擊目標清單，其中包含HTC、Linksys、愛普生、沃達豐、微軟、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。

研究人員們指出，以上過濾條件僅為備份時的版本。而在今年8月15日到9月10日之間，攻擊者們很可能曾將矛頭指向其它企業。

Avast提出幕後黑手為中國APT的理論

具體線索則包括在C&C伺服器上發現的PHP代碼、myPhpAdmin日誌以及與以往Axiom惡意軟體類似的特定代碼片段等等。

Avast公司同時指出，在對兩台伺服器上的登錄記錄進行全面分析之後，發現登錄活動模式符合俄羅斯東部、中國以及印度時區的作息時間。

但儘管如此，歸因工作仍然難度極大。Avast公司解釋稱，「這一切跡象的核心難題在於，相關證據都極易進行偽造。因此，攻擊者可能打算藉此提升調查工作難度，從而隱藏真正的攻擊源頭。」

隨著新信息的出現，以下是最新事件時間表。

• 7月3日 ? 攻擊者入侵Piriform基礎設施。

• 7月19日 ? Avast公司宣布收購Piriform，即CCleaner背後的開發商。

• 7月31日, 06:32 ? 攻擊者安裝C&C伺服器。

• 8月11日，07:36 ? 攻擊者啟動數據收集規程的籌備工作，旨在為8月15日的CCleaner二進位代碼感染與隨後的CCleaner Cloud二進位代碼感染作好準備。

• 8月15日 ? Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.

• 8月20日到21日 ? Morphisec公司的安全產品檢測並阻止首例CCleaner惡意活動實例，但卻未能發現這起活動重要內幕。

• 8月24日 ? Piriform公司發布CCLeaner Cloud v1.07.3191，其中同樣包含有Floxif木馬。

• 9月10日 20:59 ? C&C伺服器存儲空間不足，因此數據收集亦告停止。攻擊者對原始資料庫進行了備份。

• 9月 11日 ? Morphisec公司客戶與該公司工程師們共享了與CCleaner相關的惡意活動日誌細節。

• 9月12日 07:56 ? 攻擊者擦除C&C伺服器。

• 9月 12 日08:02 ? 攻擊者重新安裝C&C伺服器。

• 9月12日 ? Morphisec公司向Avast與思科通報了CCleaner的可疑活動。Avast方面立即開始調查，並向美國執行機構發出通告。思科公司也很快組織起自己的調查工作。

• 9月14日 ? 思科公司向Avast公布其調查結果。

• 9月15日 ? 當局發現C&C伺服器。

• 9月15日 ? Avast公司發布CCleaner 5.34與CCleaner Cloud 1.07.3214兩套清潔版本。

• 9月18日 ? CCleaner事件伴隨著思科、Morphisec以及Avast/Piriform報告的發布而正式公開。

• 9月（具體未知）? ServerCrate公司為Avast提供一套備份伺服器副本。

Avast公司還在其最新報告當中發布了一份IOC（入侵指標）修訂清單。各位系統管理員可以利用這些IOC搜索，了解自身網路的感染狀況。

需防範CCleaner被感染事件再次發生

近日發生的文件清理工具 CCleaner 被黑客植入後門程序事是 2017 年以來第二起黑客入侵供應鏈軟體商後進行大規模定向攻擊事件。通常情況下，我們認為只要從受信任的應用商店中安裝應用程序就可以避免被植入惡意程序，但此次供應鏈攻擊事件，讓我們不得不面對一個現實，那就是黑客已經將惡意軟體植入到受信供應商的軟體之中，從而達到對用戶進行勒索、盜取隱私的目的。這起網路攻擊事件也打破了消費者對軟體公司的信任，因為單從此次攻擊事件來看，堅持使用可信軟體來源的用戶與那些隨意安裝軟體的用戶，他們的計算機網路都是一樣的脆弱。從目前來看，最好的應對方法只有深入了解你所使用電腦軟體的公司是否具備較強的網路安全防禦能力，下載那些網路防護能力強的公司旗下的軟體，從而避免被植入後門程序。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！