[安全漏洞公告专区]系统优化工具CCleaner被植入后门

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。这是在近一个月左右时间,继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。

由于整个恶意代码盗用了 CCleaner 的正版有效数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。另外,黑客还会尝试窃取用户本机隐私信息。

CCleaner 是由 Piriform 出品的系统清理工具,Piriform 最近已被安全公司 Avast 收购。CCleaner主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。

安全风险:

用户安装了受感染的软件之后,获取计算机名称,MAC地址,系统版本信息,软件安装信息,进程信息等隐私信息,并上传到中控服务端,存在高安全风险。

影响范围:

CCleaner 终端系统工具产品的使用者很广泛,影响面大,影响版本包括:

CCleaner version 5.33.6162

CCleaner Cloud version 1.07.3191

安全方案:

如果使用了该软件的阿里云用户,建议卸载该软件,同时可以使用安全组策略屏蔽中控端地址,禁止与其通信传输数据;

对于终端PC用户,尽快下载并安装最新版本。

IoC信息:

文件Hashes值

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9

1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff

36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

DGA域名

ab6d54340c1a.com

aba9a949bc1d.com

ab2da3d400c20.com

ab3520430c23.com

ab1c403220c27.com

ab1abad1d0c2a.com

ab8cee60c2d.com

ab1145b758c30.com

ab890e964c34.com

ab3d685a0c37.com

ab70a139cc3a.com

IP地址

216.126.225.148

情报来源:

官方公告:http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

原文链接

你可能感兴趣的:([安全漏洞公告专区]系统优化工具CCleaner被植入后门)