CCleanerにマルウェアが混入した件についての備忘録

概要

9/18にシステムクリーナーソフトで有名な「CCleaner」にマルウェアが混入し、正規のダウンロードサイトを通じて配布されていたことが、各ニュースサイトで取り上げられてたいた件についての備忘録です。

同ソフトの開発元であるPiriformによると、CCleaner v5.33.6162とCCleaner Cloud v1.07.3191のいずれの32bit版にマルウェア混入していたとのことで、新しいバージョンのダウンロードをアナウンスしている。また、Piriformはマルウェア混入による影響として機密性の低い情報(コンピュータ名、IPアドレス、インストールされたソフトウェアのリスト、 ネットワークアダプタのリスト等)が米国内へのサーバに送信されるが、その他のデータ送信については確認していない旨、またそのサーバについては9/15にシャットダウンしており、害は受けないとしていた。

一方で、このマルウェア混入を発見したとされるCiscoのセキュリティ部門であるTalosのブログでは、今回のマルウェアについて詳細な解説を行っているが、第2報として公開した情報では、マルウェアが接続するC2サーバの調査を実施したところ、同サーバ内のMySQLデータベース中に感染コンピュータの情報を始め、ターゲット組織のドメイン情報などが発見されたことについて述べられている。

9/25にAvastのブログで新しい情報が公開され、そこでは当初Talosのブログでは触れていなかった他のターゲット(国内企業名あり)についても記載されていた。Avastによると当初調査していたC2サーバはデータベースがクラッシュしていたため約3.5日分のデータしか残っていなかったものの攻撃者がC2のバックアップを用意していたらしく、今回はそのバックアップ側を調査したところ新たな事実が判明したと述べている。

感染している可能性のあるコンピュータ数や攻撃対象組織

Talosのブログによると、9/12から9/16までの間に70万以上のコンピュータがC2に接続してきており、その後のステージ用(ステージ2)のペイロードを20台以上のコンピュータが受信している旨、C2側に残っていた攻撃対象組織のドメイン情報には自社(Cisco)を始め、SonySamsungなどの知名度の高いテクノロジー企業(high-profile technology companies)などが含まれていたことを明らかにした。
また、感染コンピュータのドメイン等から、政府関係(ドメインに.govが含まれている)が540台、金融関係(ドメインにbankが含まれている)が51台ある旨も報告している。

Avastの新情報(9/25)によると、C2サーバのバックアップから判明した事項として8/18以降に1,646,536台(MACアドレス数)のユニークなPCが接続し、その後ステージ2のペイロードを40台のユニークなPCが受け取った模様。

IoC(感染時の接続先C2など)

マルウェア感染時に接続する先としてTalosは以下のインジケータを公開している。マルウェアは下記のIPアドレスへの接続(HTTP POSTを行う模様)ができない場合、年と月で算出したドメインを生成してアクセスを試みる模様。ただし、これらDGAドメインについてはTalosによりコントロールされているとのこと

接続先についてもAvastからの情報で新たに追加した。

216[.]126[.]225[.]148

追加
216[.]126[.]225[.]163 - CnC 216[.]126[.]225[.]148のバックアップサーバ

ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

追加
ab3c2b0d28ba6.com - 2018-01
ab99c24c0ba9.com - 2018-02
ab2e1b782bad.com - 2018-03
ab253af862bb0.com - 2018-04
ab2d02b02bb3.com - 2018-05
ab1b0eaa24bb6.com - 2018-06
abf09fc5abba.com - 2018-07
abce85a51bbd.com - 2018-08
abccc097dbc0.com - 2018-09
ab33b8aa69bc4.com - 2018-10
ab693f4c0bc7.com - 2018-11
ab23660730bca.com - 2018-12

また、ステージ2に移行した場合、github.comやwordpress.comに対して検索を行い、そこからIPアドレスを取得する模様。

get.adoble[.]com
https://github[.]com/search?q=joinlur&type=Users&u=✓
https://en.search.wordpress[.]com/?src=organic&q=keepost

IoC(ファイル)

  • 1st stage

04bed8e35483d50a25ad8cf203e6f157e0f2fe39a762f5fbacd672a3495d6a11 - CCleaner - installer (v5.33.0.6162)
0564718b3778d91efd7a9972e11852e29f88103a10cb8862c285b924bc412013 - CCleaner - installer (v5.33.0.6162)
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff - CCleaner - installer (v5.33.0.6162)
276936c38bd8ae2f26aab14abff115ea04f33f262a04609d77b0874965ef7012 - CCleaner - installer (v5.33.0.6162)
2fe8cfeeb601f779209925f83c6248fb4f3bfb3113ac43a3b2633ec9494dcee0 - CCleaner - installer (v5.33.0.6162)
3c0bc541ec149e29afb24720abc4916906f6a0fa89a83f5cb23aed8f7f1146c3 - CCleaner - installer (v5.33.0.6162)
4f8f49e4fc71142036f5788219595308266f06a6a737ac942048b15d8880364a - CCleaner - installer (v5.33.0.6162)
7bc0eaf33627b1a9e4ff9f6dd1fa9ca655a98363b69441efd3d4ed503317804d - CCleaner - installer (v5.33.0.6162)
a013538e96cd5d71dd5642d7fdce053bb63d3134962e2305f47ce4932a0e54af - CCleaner - installer (v5.33.0.6162)
bd1c9d48c3d8a199a33d0b11795ff7346edf9d0305a666caa5323d7f43bdcfe9 - CCleaner - installer (v5.33.0.6162)
c92acb88d618c55e865ab29caafb991e0a131a676773ef2da71dc03cc6b8953e - CCleaner - installer (v5.33.0.6162)
e338c420d9edc219b45a81fe0ccf077ef8d62a4ba8330a327c183e4069954ce1 - CCleaner - installer (v5.33.0.6162)
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 - CCleaner.exe (32-bit v5.33.0.6162)
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 - CCleaner.exe (32-bit v5.33.0.6162)
a3e619cd619ab8e557c7d1c18fc7ea56ec3dfd13889e3a9919345b78336efdb2 - CCleanerCloud - installer (32-bit v1.7.0.3191)
0d4f12f4790d2dfef2d6f3b3be74062aad3214cb619071306e98a813a334d7b8 - CCleanerCloudAgent.exe (32-bit v1.7.0.3191)
9c205ec7da1ff84d5aa0a96a0a77b092239c2bb94bcb05db41680a9a718a01eb - CCleanerCloudAgentHealtCheck.exe (32-bit v1.7.0.3191)
bea487b2b0370189677850a9d3f41ba308d0dbd2504ced1e8957308c43ae4913 - CCleanerCloudTray.exe (32-bit v1.7.0.3191)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 1st stage payload DLL found in CCleaner
19865df98aba6838dcc192fbb85e5e0d705ade04a371f2ac4853460456a02ee3 - 1st stage payload DLL found in CCleanerCloud

  • 2nd stage

7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538 - loader of the 2nd stage payload (32-bit)
a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15 - loader of the 2nd stage payload (64-bit)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 2nd stage payload DLL (GeeSetup_x86.dll)
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 32-bit DLL dropped from the 2nd stage payload
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 64-bit DLL dropped from the 2nd stage payload
A6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5 - inner DLL of the 2nd stage payload (32-bit)
B3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e - inner DLL of the 2nd stage payload (64-bit)

更新履歴

  • 2017/09/22 07:30 新規作成
  • 2017/09/26 06:20 Avastによる情報を追記