Cập nhập 22/09/2017:
Avast công bố chi tiết máy chủ C&C ngày hôm nay : Sau khi
Avast kết hợp cùng các cơ quan hành pháp tại Mỹ kiểm tra máy chủ C&C (máy
chủ điều khiển mã độc từ xa), phục hồi dữ liệu, nhật ký...
- Thông tin máy chủ là một máy tính thấp cấp với dung lượng đĩa
hạn chế. Dựa trên bản ghi, ổ đĩa của máy chủ đã bị đầy và những kẻ tấn công đã
phải xóa các dữ liệu thu thập được, bên cạnh đó thông tin về các Nhiễm trùng
CCleaner bị mất do lỗi phần mềm ổ đĩa chạy trên Máy chủ.
- Hầu hết IP các kết nối đến máy chủ đều ở Nhật Bản.
- Múi giờ cơ sở dữ liệu trong các tập lệnh PHP cung cấp là PRC
(Cộng hòa Nhân dân Trung Hoa) trong khi đó giờ đồng hồ hệ thống là UTC.
Nhật ký máy chủ C&C:
- Ngày 31/07/2017 - 06:32: Những kẻ tấn công cài đặt máy chủ.
- Ngày 11/08/2017 - 07:36: Những kẻ tấn công bắt đầu các thủ tục
thu thập dữ liệu để chuẩn bị cho ngày 15 tháng 8 khi chúng tấn công CCleaner,
và sau đó là CCleaner Cloud.
- Ngày 10/09/2017 - 20:59: Máy chủ hết dung lượng và dừng thu thập
dữ liệu.
- Ngày 12/09/2017 - 07:56: Những kẻ tấn công xóa cơ sở dữ liệu.
- Ngày 12/09/2017 - 08:02: Những kẻ tấn công cài đặt lại cơ sở dữ
liệu.
- Ngày 15/09/2017 - 09:50: Các cơ quan bắt giữ máy chủ C&C
và cơ sở dữ liệu ngay sau đó.
Cập nhập 19/09/2017:
Trong thông báo mới nhất của mình, Ông Vince
Steckler Tổng giám đốc và Ondrej Vlcek, CTO kiêm EVP Khách hàng doanh nghiệp
chính thức đính chính làm rõ các chi tiết xung quanh sự cố CCleaner bị hacker chèn mã độc mà giới truyền thông đã
đưa tin.
1. CCleaner 5.33.6162 được phát hành
vào ngày 15/08/2017 và phát hành CCleaner Cloud v1.07.3191 ngày 24/08/2017, đến
ngày 12/09/2017, Công ty bảo mật Morphisec đã thông báo cho Avast Lab về vụ việc
( Morphisec đã phát hiện từ ngày 20/08/2017 và theo dõi traffic), sau đó
Morphisec cũng thông báo vụ việc tương tự cho Cisco vì họ tìm thấy kẻ tấn công
nhắm đến các mục tiêu nạn nhân dựa trên tên miền máy tính như Cisco và các tổ
chức khác như Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2,
Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle Microsoft và Google
(Gmail). Đến ngày 14/09/2017, Cisco gởi văn bản thông báo đến Avast và các công
ty bị ảnh hưởng để thông báo vụ việc.
Mục tiêu nạn nhân dựa trên tên miền của malware
2. Máy chủ điều khiển mã độc C&C
sau đó đã chính thức bị gỡ bỏ bởi các Cơ quan thực thi pháp luật vào ngày 9h50
ngày 15/09/2017. Trong thời gian đó, nhóm Cisco Talos, cũng đã chủ động đăng ký
các tên miền DGA thứ cấp để xác định và tính toán địa chỉ IP của máy chủ
C&C. Như vậy, mã độc đã bị vô hiệu hóa từ xa. Cùng ngày, CCleaner 5.34 và
CCleaner Cloud 1.07.3214 nhưng đã gỡ bỏ cài đặt backdoor đã được phát hành và tải
lên như là một cập nhật tự động cho người dùng CCleaner. Đến ngày 18/09/2017, sự
cố CCleaner được công khai như các báo cáo của Avast, Piriform, Morphisec và
Cisco.
3. Sau khi phân tích cơ sở dữ liệu của
máy chủ C&C, số lượng người dùng bị ảnh hưởng giảm từ 2,27 triệu xuống còn
730,000. Và thực tế các nhà nghiên cứu cho biết hacker đã lây nhiễm 20 máy tính
trên toàn cầu.
Về kỹ thuật:
Mẫu MD5 của CCleaner_Malware trên VirusTotal:
8f56fd14133ccd84b6395913536f5823d74737c410b829f729baaf2fe645a0a9
Sau khi phân tích các tệp này, các nhà
nghiên cứu nhận ra rằng các báo cáo ban đầu về phần mềm độc hại của CCleaner
mang tên Floxif - chỉ là một phần. Bên cạnh đó, sau khi phân tích cơ sở dữ liệu
của máy chủ C&C, các bằng chứng thu được từ sự cố CCleaner liên quan đến hoạt
động của một nhóm gián điệp qua mạng là tên của Axiom, ngoài ra còn có một số
thông tin liên quan đến APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho,
Group 72, AuroraPanda.
Sau khi phân tích sâu về các
tệp, các nhà nghiên cứu đã chỉ ra những điểm giống nhau đến chi tiết giữa phần
mềm độc hại của CCleaner và trojan backdoor Missl (Trojan mà Axiom, APT17 đã sử
dụng để tấn công trước đây)
Bên trong cơ sở dữ liệu máy chủ
C&C, sau khi loại bỏ các bản sao, đã
có hai bảng chính:
1. Bảng 1: Liệt kê tất cả các máy bị nhiễm phần mềm độc hại giai
đoạn đầu (Floxif - một trong đó thu thập thông tin về tất cả người dùng) chứa dữ
liệu trên hơn 700.000 máy tính
2. Bảng 2: Theo dõi tất cả các máy tính bị nhiễm phần mềm độc hại
giai đoạn hai - đã lây nhiễm 20 máy tính trên toàn cầu.
Sự giống nhau của CCleaner malware và Missl backdoor
8f56fd14133ccd84b6395913536f5823d74737c410b829f729baaf2fe645a0a9
0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2
Nguồn:
http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor
Bản tin 18/09/2017:
Một hoạt động đáng ngờ đã được xác định
vào ngày 12 tháng 9 năm 2017, khi Avast Lab thấy địa chỉ IP không xác định nhận
dữ liệu từ phần mềm được tìm thấy trong phiên bản 5.33.6162 của CCleaner và
CCleaner Cloud phiên bản 1.07.3191 trên các hệ thống Windows 32-bit. Dựa trên
phân tích sâu hơn, Avast Lab thấy rằng phiên bản 5.33.6162 của CCleaner và
phiên bản 1.07.3191 của CCleaner Cloud bị sửa đổi bất hợp pháp trước khi nó được
phát hành ra công chúng và Avast Lab đã bắt đầu quá trình điều tra. Hãng Avast
cũng liên lạc ngay với các đơn vị thực thi pháp luật và làm việc với họ để giải
quyết vấn đề. Mối đe dọa đã được giải quyết theo nghĩa máy chủ lừa đảo, các máy
chủ tiềm năng khác nằm ngoài sự kiểm soát của kẻ tấn công và CCleaner hiện đã
phát hành phiên bản cập nhập mới nhất 5.34 hôm 13/09. Người dùng CCleaner Cloud
phiên bản 1.07.3191 cũng đã nhận được cập nhật tự động.
Phần mềm độc hại có tên là Floxif – thu thập dữ liệu từ các máy
tính bị nhiễm bệnh, như tên máy tính, danh sách các phần mềm đã cài đặt, danh
sách các tiến trình đang chạy, địa chỉ MAC và sử dụng ID duy nhất để xác định từng
máy tính. Tuy nhiên mối nguy hại nghiêm trọng là Floxif có thể tải về và thực
hiện các phần mềm độc hại khác, nhưng dường như kẻ tấn công đã " bỏ quên
" sử dụng chức năng này. Ngoài ra, phần mềm độc hại chỉ được thực hiện nếu
người dùng đang sử dụng tài khoản quản trị viên, nếu bạn đang dùng Windows 7
Home Premium, thì tài khoản chính của bạn rất có thể là tài khoản quản trị và bạn
nên cập nhật phiên bản 5.34 của CCleaner.
Hướng khắc phục:
1. Cập nhập ngay phiên bản mới nhất của CCleaner tại:
https://www.piriform.com/ccleaner/download/standard
2. Không cài đặt các phiên bản cũ và sử dụng CCleaner 5.33.6162
hoặc CCleaner Cloud 1.07.3191 trên các nguồn lưu trữ web.
Mẫu MD5 của Floxif trên VirusTotal:
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9
IP máy chủ C&C điều khiển mã độc:
216.126.225.148Danh sách tên miền máy chủ độc hại:
ab6d54340c1a.com
aba9a949bc1d.com
ab2da3d400c20.com
ab3520430c23.com
ab1c403220c27.com
ab1abad1d0c2a.com
ab8cee60c2d.com
ab1145b758c30.com
ab890e964c34.com
ab3d685a0c37.com
ab70a139cc3a.com