文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何进行CCleaner恶意代码分析预警

2023-06-19 11:41

关注

如何进行CCleaner恶意代码分析预警,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被 篡改并植入了恶意代码。

360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。 

据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。

0x01 事件影响面

1、影响面

CCleaner 产品的使用者很广泛,影响面大。 

目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。

2、影响版本

CCleaner version 5.33.6162 

CCleaner Cloud version 1.07.3191

3、DNS请求态势

如何进行CCleaner恶意代码分析预警

0x02 部分技术信息

据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。

恶意代码通过TLS(线程局部存储/Thread Local Storage)回调处理的方式触发执行,TLS是一种Windows NT支持的特殊的存储类别,主要为了支持 程序的构造。

存在于TLS回调中的恶意代码会先于main函数执行以下操作: 

   1、使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)

   2、解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)

   3、随后DLL文件被加载和执行一个独立线程,并长期在后台运行

随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。 具体主要执行以下操作:

试图存储相关信息到Windows注册表中 HKLM\SOFTWARE\Piriform\Agomo:

  MUID: 随机字符串,不确定是否用于通信;

  TCID: 定时器执行周期;

  NID: 控制服务器地址

试图收集以下的本地信息:

  主机名

  已安装软件列表,包括Windows更新 

  进程列表
 前3个网卡的MAC地址 

  检测进程权限是否管理员权限,是否64位等

以上信息均已base64的方式进行编码。


编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148 ,通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。


接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。 

为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。

相关

DGA生成算法

如何进行CCleaner恶意代码分析预警获取本地信息

如何进行CCleaner恶意代码分析预警字符串混淆

如何进行CCleaner恶意代码分析预警API间接调用

如何进行CCleaner恶意代码分析预警搜集非微软的安装程序

如何进行CCleaner恶意代码分析预警枚举系统活动进程

如何进行CCleaner恶意代码分析预警Indicators of Compromise (IOCs)

DGA域名列表

日期              域名

2017年01月 abde911dcc16.com

2017年02月 ab6d54340c1a.com

2017年03月 aba9a949bc1d.com

2017年04月 ab2da3d400c20.com

2017年05月 ab3520430c23.com

2017年06月 ab1c403220c27.com

2017年07月 ab1abad1d0c2a.com

2017年08月 ab8cee60c2d.com

2017年09月 ab1145b758c30.com

2017年10月 ab890e964c34.com

2017年11月 ab3d685a0c37.com

2017年12月 ab70a139cc3a.com

2018年01月 abde911dcc16.com

2018年02月 ab99c24c0ba9.com

2018年03月 ab2e1b782bad.com

文件哈希

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

IP地址

216[.]126[.]225[.]148

0x03 安全建议


建议用户尽快下载最新版本进行更新

目前 360安全卫士 已经更新并能拦截受影响的文件。如您不确定是否受影响,您可以下载360安全卫士进行安全评估。

看完上述内容,你们掌握如何进行CCleaner恶意代码分析预警的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注编程网行业资讯频道,感谢各位的阅读!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯