揭開神秘的面紗：CCleaner APT事件調查

我在RSA分享了Avast調查CCleaner APT（高級持續威脅）中的新發現。

去年九月，我們透露CCleaner已成為網路犯罪分子的目標，通過CCleaner安裝文件發布惡意軟體。修改的安裝文件被全球227萬名CCleaner客戶下載。此後，我們的威脅情報團隊一直在調查此事。

自從上個月在SAS發布更新以來，我們已經進一步發現了攻擊者是如何滲入Piriform網路以及他們的隱形策略。在尋找與其他攻擊的相似之處時，我們還分析了老版本的ShadowPad，這是在四台Piriform電腦上發現的網路攻擊平台。我調查顯示，ShadowPad之前在韓國以及俄羅斯的被入侵的計算機上使用過，進行金融交易。

CCleaner攻擊：威脅攻擊者如何進入Piriform網路

為了發起CCleaner攻擊，威脅攻擊者首先在2017年3月11日訪問了Piriform的網路（Avast收購該公司前四個月），在開發人員個人工作站上使用TeamViewer進行滲透。他們通過單一登錄成功獲得訪問許可權，這意味著他們知道登錄憑證。雖然我們不知道攻擊者是如何獲得憑證的，只能推測威脅攻擊者使用Piriform工作站用戶已泄露的其他服務憑證來訪問TeamViewer帳戶。

根據日誌文件，TeamViewer在當地時間凌晨5點訪問，當時PC無人值守，但正在運行。攻擊者試圖安裝兩個惡意DLL，但由於缺乏系統管理許可權，這些嘗試失敗。在第三次嘗試中，攻擊者使用VBScript（Microsoft開發的腳本語言）成功刪除了payload 。

攻擊者試圖進入第一台計算機

第二天，2017年3月12日，攻擊者橫向移動到第二台計算機上，再次將工作時間（當地時間凌晨4點）以外的無人照管計算機作為目標。攻擊者通過微軟的遠程桌面服務打開後門，向計算機的註冊表傳遞二進位文件和payload。傳播的payload是第二階段惡意軟體的舊版本，已傳染給40位CCleaner用戶。

3月12日向第二台計算機橫向移動

兩天後，攻擊者又回到了第一台電腦，用老版本的第二階段惡意軟體感染。

攻擊者回到第一台計算機，用舊版本的第二階段惡意軟體感染

經過幾周的靜默之後，下一階段的payload被交付給第一台受感染的計算機。我們認為威脅攻擊者在靜默期間準備了惡意二進位文件。攻擊者利用多種技術滲透內部網路中的其他計算機，包括使用鍵盤記錄器收集密碼，並通過Windows遠程桌面應用程序以管理許可權登錄。payload是臭名昭著的ShadowPad，我們認為它是CCleaner攻擊的第三階段。它作為一個mscoree.dll庫交付給Piriform網路中的四台計算機，包括一個build伺服器，將其作為一個.NET運行時庫進行屏蔽以免引起注意。存儲在磁碟上的庫有一個時間戳，顯示我們發現的ShadowPad版本是在2017年4月4日編譯的。這是在Piriform電腦上安裝之前的8天，這意味著它針對攻擊進行了定製，我們在3月和9月的早期博文中也對此進行了描述。

攻擊者在進入Piriform網路五個月之後才將惡意payload隱藏到CCleaner中。 Avast在2017年7月18日收購了Piriform，並於2017年8月2日發布了首款攜帶payload的CCleaner版本。有趣的是，他們花了很長時間才開始對CCleaner用戶發起攻擊。

ShadowPad活躍在韓國和俄羅斯

在分析來自Piriform網路的ShadowPad可執行文件後，我們在VirusTotal上查找到了類似的文件。我們找到了兩個樣本，一個出現在韓國，另一個出現在俄羅斯。

從韓國上傳到VirusTotal的樣本於2017年12月27日上傳。該樣本旨在與韓國建國大學的CnC伺服器進行通信，很可能是在黑客電腦上進行的。根據上傳樣本的方式和信息，我們認為用戶將其上傳到VirusTotal，而不是安全公司。

來自互聯網搜索引擎Shodan.io的圖片，顯示了CnC伺服器IP地址上可用的服務;圖片來源：Shodan

解密的配置，顯示攻擊中使用的IP地址;圖片來源：Avast

我們在VirusTotal上找到的第二個ShadowPad可執行文件是針對俄羅斯的一台計算機，該計算機屬於一個參與公共預算分配的組織。一份提交文件上傳了文件名，第二份提交文件上傳到了中國的VirusTotal。第一份文件於2017年11月3日提交，第二份文件於2017年11月6日提交。

在第二次提交中，我們發現了一個7ZIP文件，其中包含更多的文件，包括之前的提交，以及來自鍵盤記錄模塊的加密日誌。我們解密了日誌文件，並找到了在各種進程中的按鍵，例如來自Microsoft Word，Firefox，Windows資源管理器和КриптоПроCSP（CryptoPro CSP）。最有趣的是Firefox用戶完成金融交易的日誌。我們還找到了一份也是公共記錄的合同，以及參與這些流程的員工姓名。

從俄羅斯ShadowPad版本的分析中得出一個有趣的結論是，ShadowPad並是不總是模塊化的。在來自俄羅斯的版本中，所有模塊都捆綁在一個可執行文件中，而不是單獨存儲在Windows註冊表中（Piriform攻擊的版本）。捆綁版本讓我們深入了解攻擊者更全面的模塊。攻擊者甚至懶得將其中一些下載到Piriform網路;只有三個在俄羅斯攻擊中使用的插件也用於Piriform攻擊。

用於俄羅斯攻擊的ShadowPad模塊

俄羅斯攻擊中使用的最古老的惡意可執行文件是在2014年建立的，這意味著它背後的組織可能已經進行了多年的間諜活動。我們在鍵盤記錄器中找到的具體付款信息是公開記錄，但攻擊者很可能也訪問了敏感信息。

網路安全需要成為併購調查的核心部分

韓國和俄羅斯的例子再次強調了ShadowPad長期以來一直很活躍，而且看到了ShadowPad如何徹底監視機構和組織，這是令人恐懼的。

在CCleaner方面，高達227萬名CCleaner消費者和企業下載了受感染的CCleaner產品。然後攻擊者在僅有40台由高科技和電信公司運營的PC上安裝惡意的第二階段。沒有證據表明可能處於第三階段的ShadowPad是通過CCleaner分發給40台PC中的任何一台。

對於Avast，CCleaner攻擊有兩個關鍵要點。首先，併購調查必須超越法律和財務問題。公司需要高度關注網路安全，對於我們來說，這已成為收購過程中需要關注的關鍵領域之一。其次，供應鏈並不是企業的關鍵優先事項，但這需要改變。攻擊者將一直試圖找到最薄弱的環節，如果一個產品被數百萬用戶下載，這對他們來說是一個有吸引力的目標。公司需要增加對供應鏈安全的關注和投資。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！