揭开神秘的面纱：“CCleaner后门版”APT事件调查

我在RSA分享了Avast调查CCleaner APT（高级持续威胁）中的新发现。

去年九月，我们透露CCleaner已成为网络犯罪分子的目标，通过CCleaner安装文件发布恶意软件。修改的安装文件被全球227万名CCleaner客户下载。此后，我们的威胁情报团队一直在调查此事。

自从上个月在SAS发布更新以来，我们已经进一步发现了攻击者是如何渗入Piriform网络以及他们的隐形策略。在寻找与其他攻击的相似之处时，我们还分析了老版本的ShadowPad，这是在四台Piriform电脑上发现的网络攻击平台。调查显示，ShadowPad之前在韩国以及俄罗斯的被入侵的计算机上使用过，进行金融交易。

CCleaner攻击：威胁攻击者如何进入Piriform网络

为了发起CCleaner攻击，威胁攻击者首先在2017年3月11日访问了Piriform的网络（Avast收购该公司前四个月），在开发人员个人工作站上使用TeamViewer进行渗透。他们通过单一登录成功获得访问权限，这意味着他们知道登录凭证。虽然我们不知道攻击者是如何获得凭证的，只能推测威胁攻击者使用Piriform工作站用户已泄露的其他服务凭证来访问TeamViewer帐户。

根据日志文件，TeamViewer在当地时间凌晨5点访问，当时PC无人值守，但正在运行。攻击者试图安装两个恶意DLL，但由于缺乏系统管理权限，这些尝试失败。在第三次尝试中，攻击者使用VBScript（Microsoft开发的脚本语言）成功删除了payload 。

攻击者试图进入第一台计算机

第二天，2017年3月12日，攻击者横向移动到第二台计算机上，再次将工作时间（当地时间凌晨4点）以外的无人照管计算机作为目标。攻击者通过微软的远程桌面服务打开后门，向计算机的注册表传递二进制文件和payload。传播的payload是第二阶段恶意软件的旧版本，已传染给40位CCleaner用户。

3月12日向第二台计算机横向移动

两天后，攻击者又回到了第一台电脑，用老版本的第二阶段恶意软件感染。

攻击者回到第一台计算机，用旧版本的第二阶段恶意软件感染

经过几周的静默之后，下一阶段的payload被交付给第一台受感染的计算机。我们认为威胁攻击者在静默期间准备了恶意二进制文件。攻击者利用多种技术渗透内部网络中的其他计算机，包括使用键盘记录器收集密码，并通过Windows远程桌面应用程序以管理权限登录。payload是臭名昭着的ShadowPad，我们认为它是CCleaner攻击的第三阶段。它作为一个mscoree.dll库交付给Piriform网络中的四台计算机，包括一个build服务器，将其作为一个.NET运行时库进行屏蔽以免引起注意。存储在磁盘上的库有一个时间戳，显示我们发现的ShadowPad版本是在2017年4月4日编译的。这是在Piriform电脑上安装之前的8天，这意味着它针对攻击进行了定制，我们在3月和9月的早期博文中也对此进行了描述。

攻击者在进入Piriform网络五个月之后才将恶意payload隐藏到CCleaner中。 Avast在2017年7月18日收购了Piriform，并于2017年8月2日发布了首款携带payload的CCleaner版本。有趣的是，他们花了很长时间才开始对CCleaner用户发起攻击。

ShadowPad活跃在韩国和俄罗斯

在分析来自Piriform网络的ShadowPad可执行文件后，我们在VirusTotal上查找到了类似的文件。我们找到了两个样本，一个出现在韩国，另一个出现在俄罗斯。

从韩国上传到VirusTotal的样本于2017年12月27日上传。该样本旨在与韩国建国大学的CnC服务器进行通信，很可能是在黑客电脑上进行的。根据上传样本的方式和信息，我们认为用户将其上传到VirusTotal，而不是安全公司。

来自互联网搜索引擎Shodan.io的图片，显示了CnC服务器IP地址上可用的服务;图片来源：Shodan

解密的配置，显示攻击中使用的IP地址;图片来源：Avast

我们在VirusTotal上找到的第二个ShadowPad可执行文件是针对俄罗斯的一台计算机，该计算机属于一个参与公共预算分配的组织。一份提交文件上传了文件名，第二份提交文件上传到了中国的VirusTotal。第一份文件于2017年11月3日提交，第二份文件于2017年11月6日提交。

在第二次提交中，我们发现了一个7ZIP文件，其中包含更多的文件，包括之前的提交，以及来自键盘记录模块的加密日志。我们解密了日志文件，并找到了在各种进程中的按键，例如来自Microsoft Word，Firefox，Windows资源管理器和КриптоПроCSP（CryptoPro CSP）。最有趣的是Firefox用户完成金融交易的日志。我们还找到了一份也是公共记录的合同，以及参与这些流程的员工姓名。

从俄罗斯ShadowPad版本的分析中得出一个有趣的结论是，ShadowPad并是不总是模块化的。在来自俄罗斯的版本中，所有模块都捆绑在一个可执行文件中，而不是单独存储在Windows注册表中（Piriform攻击的版本）。捆绑版本让我们深入了解攻击者更全面的模块。攻击者甚至懒得将其中一些下载到Piriform网络;只有三个在俄罗斯攻击中使用的插件也用于Piriform攻击。

用于俄罗斯攻击的ShadowPad模块

俄罗斯攻击中使用的最古老的恶意可执行文件是在2014年建立的，这意味着它背后的组织可能已经进行了多年的间谍活动。我们在键盘记录器中找到的具体付款信息是公开记录，但攻击者很可能也访问了敏感信息。

网络安全需要成为并购调查的核心部分

韩国和俄罗斯的例子再次强调了ShadowPad长期以来一直很活跃，而且看到了ShadowPad如何彻底监视机构和组织，这是令人恐惧的。

在CCleaner方面，高达227万名CCleaner消费者和企业下载了受感染的CCleaner产品。然后攻击者在仅有40台由高科技和电信公司运营的PC上安装恶意的第二阶段。没有证据表明可能处于第三阶段的ShadowPad是通过CCleaner分发给40台PC中的任何一台。

对于Avast，CCleaner攻击有两个关键要点。首先，并购调查必须超越法律和财务问题。公司需要高度关注网络安全，对于我们来说，这已成为收购过程中需要关注的关键领域之一。其次，供应链并不是企业的关键优先事项，但这需要改变。攻击者将一直试图找到最薄弱的环节，如果一个产品被数百万用户下载，这对他们来说是一个有吸引力的目标。公司需要增加对供应链安全的关注和投资。

声明：本文来自嘶吼，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。