Morphisec發現CCleaner後門解救數百萬Avast使用者

這起發生在上週相當令人重視的資安新聞,也就是防毒廠商Avast旗下軟體開發商Piriform所推出的系統優化工具CCleaner被駭客植入後門程式。根據Avast所述,大約有227萬的使用者正在使用這個受到影響的CCleaner 5.33版;此外CCleaner的雲端版本1.07同樣也受到影響。Morphisec是第一家發現CCleaner後門並解救數百萬Avast使用者的資安公司

You never know where it comes from when it is unknown.

你永遠不會知道惡意程式是從哪裡來,當它還默默無名時!

Morphisec在2017年8月20日與21日兩天,在客戶的環境中發現並阻止含有惡意程式的CCleaner程式的安裝。一些客戶在 2017年的9月11日將阻擋惡意攻擊的日誌記錄提供給Morphisec,Morphisec便立即開始進行日誌分析與深入調查。

儘管這個CCleaner程式的執行檔有透過數位簽章加簽來確保的是原本的Piriform(被Avast在今年七月收購)公司所有,但仍被發現有內部程式碼插入行為,相關的DLL程序也會直接被載入至記憶體中。

在新加坡其中一家客戶的電腦中,Morphisec獨特的「移動目標防護(Moving Target Defense)」技術在第一時間就阻止惡意檔案的執行。Morphisec的研發副總Michael Gorelik表示:「最重要的是,我們很高興見到我們阻止了攻擊,以及我們的「端點威脅防禦(Endpoint Threat Prevention)」解決方案保護我們客戶的安全。」

隨即在第一次調查之後,Morphisec立刻通知所有的客戶並首先聯絡Avast,回報其發現並協助Avast找到問題。修正問題的CCleaner 5.34更新版本隨後在2017年9月12日釋出,這個版本已經沒有包含任何惡意程式。

「透過資安公司的產品開發過程,偷偷地植入一個後門到資安產品中,這呈現一個前所未見的威脅,徹底動搖客戶的信任。也是因為如此,根據我們的資訊保密協議,我們立刻聯絡Avast並分享所有必要的資訊,幫助Avast立刻解決問題。“客戶的資訊安全永遠是我們第一個考量”。」Gorelik特別強調。

在Avast的Blog文章中,Avast肯定了Morphisec在此事件中的重大貢獻:

被攻擊的CCleaner版本在8月15日釋出,並且在四個星期中從未被任何資安公司發現存在後門,由此可見這個攻擊的精細手法。我們認為這是一個計劃完備的攻擊行動,而且事實上也沒有造成使用者的損失是一個非常好的結果。這一切要歸功於我們的友商Morphisec在第一時間就通知我們,後續結合Piriform以及Avast開發團隊的合作,我們成功清除這個攻擊。我們會繼續與執法單位合作,找到這個攻擊的源頭。

[節略…]

Avast在9月12日上午8:35收到Morphisec的通知,告訴我們發現他們所發現的可疑惡意程式。我們相信Morphisec同時也通知了Cisco。我們感謝Morphisec而且我們欠他們一個大人情,他們聰明的團隊幫助我們確認威脅,讓我們可以找到方法阻止這次的攻擊。一接獲到通知,我們立刻發起調查,等到Cisco通知我們(9月14日上午7:25),我們已經完整地分析這個威脅,評估風險等級,並同時與美國的執法單位合作,共同調查這次事件的根本原因。

[更新] CCleaner資安事件是被Morphisec和Cisco各自發現並獨力調查的案件,然後再分別報告給Avast。

現在既然Avast已經將此事件全部公開,以下提供Morphisec針對此事件在技術調查上的簡短摘要。

技術摘要

首先,我們發現CALLBACK函式的TLS初始化可能被Visual Studio一個受到變更的runtime檔案所改變:

這類的修改可能是被某人竄改,這個人可以存取編譯程式碼的電腦。這讓程式碼插入變的相對容易也隱密。更進一步,這個惡意程式碼的執行是在所有CCleaner程式碼執行之前,而編譯電腦會自動數位簽署這個執行檔。

沿著新TLS初始化的路徑,我們發現相關DLL的插入,這個DLL缺少FILE_DOS_HEADER。緊接著,NT_HEADER被去掉以閃過任何記憶體監視解決方案的偵測。Morphisec研究團隊最近發現這種現象越來越多。

這個DLL本質只是一個控制元件,用來收集電腦相關資訊傳送到C2(駭客的控制伺服器)然後接收下個階段的執行指令。

這個DLL包含幾個精密的Method,通常只有極少的駭客組織會用到,例如可以同時在64/32位元處理程序中執行以確認所在架構的程式碼:

特別注意到下載的Payload具有Failback功能,可以存取「隨機」產生的網域 (利用月份或年份當作隨機種子)。

從C2所下載的程式碼:

下載Payload之後惡意程式碼執行的狀況,連同隨機產生網域中的主機:

結論

由Avast的這個事件我們可以再次得到驗證,即便是如Avast本身就是以防毒技術起家的資安公司,在面對未知的病毒、惡意程式與進階威脅,仍然得依靠特徵的比對與行為分析等等“偵測(Detection)”技術來發現威脅。

You never know where it comes from when it is unknown.

你永遠不會知道惡意程式是從哪裡來,當它還默默無名時!

當一個病毒、惡意程式或是進階威脅攻擊還沒有被發現其特徵時,你要如何防範?

唯有透過本公司所代理的Morphisec Endpoint Threat Prevention利用其獨特的移動目標防禦(Moving Target Defense)“防禦(Prevention)”的概念來強化既有防毒軟體的防護效果:

傳統防毒軟體:依靠偵測(Detection)快速清除已知病毒、惡意程式

創新防禦機制Morphisec:利用防禦(Prevention)阻止各種未知攻擊

如果您對於本公司所代理的Morphisec端點威脅防禦解決方案有興趣,請立即與我們聯絡!

 

Posted in 新聞 and tagged , , , , , .