Bezpečnostní novinky

Nová fakta ve vyšetřování útoku na CCleaner

Vince Steckler & Ondřej Vlček, 21. září 2017

Cílem byly technologické a telekomunikační společnosti

Tým Avast Security Threat Labs dále nepřetržitě pátrá po zdrojích a podrobnostech nedávného útoku na optimalizační software CCleaner společnosti Piriform poté, co se jim podařilo odstavit CnC server a získat přístup k jeho datům. Útok, který se šířil
do počítačů přes oblíbený čistící nástroj CCleaner (verze 5.33.6162), zasáhl mezi
15. srpnem a 15. zářím celkově 2,27 milionů uživatelů. Shrnujeme naše aktuální zjištění.

Analýza dat z CnC serveru prokázala, že se jedná o APT (Advanced Persistent Threat) útok, který je vytvořen tak, aby vybraným uživatelům doručil druhou fázi útoku. Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení
v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek. Tyto nové informace jsou v rozporu s naším předchozím tvrzením založeném na v té době dostupných informacích, že ke druhé fázi útoku vůbec nedošlo.

V době, kdy byl server odstaven, útočníci cílili především na velké technologické
a telekomunikační společnosti v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Jednalo se o tzv. watering-hole attack, typ útoku, kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware. Vzhledem k zaměření CCleaneru na koncové uživatele, kteří nejsou pro útočníky příliš zajímaví, cílil útok pouze na specifickou skupinu uživatelů. Z důvodu ochrany osobních údajů v tuto chvíli nezveřejňujeme seznam firem, na které se pachatelé zaměřili. Společnosti, o kterých víme, že byly zasaženy, kontaktujeme přímo a dodáváme jim potřebné technické informace.

Druhá fáze útoku je poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna,
a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53). Spolu s policií a dalšími bezpečnostními složkami pokračujeme v analýze, snažíme se získat data ze sekundárních CnC serverů a pátráme po pachatelích.

Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému. Útočníci využili dva rozdílné způsoby automatického spuštění. V systému Windows 7 a novějších verzích je binární soubor uložen do souboru s názvem "C: \ Windows \ system32 \ lTSMSISrv.dll" a jeho načtení zajišťuje automatické zavádění služby NT "SessionEnv" (služba RDP - vzdálená plocha). Na Winows XP se binární soubor uloží jako "C: \ Windows \ system32 \ spool \ prtprocs \ w32x86 \ localspl.dll" a kód použije k načtení službu "Spooler".

Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo
v registru v klíčích "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ WbemPerf \ 00 [1-4]"). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok.

Kromě toho, že analyzujeme technické parametry útoku, zároveň pokračujeme
ve spolupráci s policií a bezpečnostními složkami, abychom vypátrali zdroj útoku. Uděláme všechno proto, abychom odhalili, kdo tím stojí. V těchto chvílích provádíme pravidelné aktualizace a kontroly, ale hlavně soustředíme svoji energii na dopadení pachatelů. Chceme snížit šanci, že se útočníci stáhnou a smažou stopy, proto nemůžeme zveřejnit vše, co víme. Kdybychom teď byli příliš otevření, ničemu nepomůžeme - veřejnost se vším seznámíme v pravou chvíli.

Klíčové pro nás je vyřešit problém na zařízeních našich zákazníků. I nadále platí naše doporučení pro běžné uživatele aktualizovat CCleaner na nejnovější verzi (nyní 5.35, zrušili jsme platnost digitálního podpisu napadené verze 5.33) a používat kvalitní antivirový produkt, jako je například Avast Antivirus. Co se týká firemních uživatelů, další postup se může lišit a pravděpodobně bude dost záviset na IT pravidlech jednotlivých firem. V této fázi nedokážeme jednoznačně vyloučit, že byla zasažena
i další firemní zařízení, přestože celý útok byl velmi specificky cílený.

Pokračujeme ve vyšetřování celého útoku a budeme o všem i nadále informovat.

Vince Steckler, generální ředitel
Ondřej Vlček, technický ředitel