Исследователи из Cisco Talos обнаружили вредоносную версию CCleaner — популярной утилиты, предназначенной для очистки и оптимизации  десктопных ОС Windows. Компания-разработчик Piriform, недавно выкупленная Avast, извещена о проблеме и уже приняла меры, отключив сервер, отдававший зараженную копию.

Вредоносный исполняемый файл, внедренный в бесплатный CCleaner, был найден в ходе бета-тестирования нового механизма обнаружения эксплойта. На поверку зловред оказался инсталлятором, который почти месяц раздавался с одного из серверов Piriform вместе с подписанной 32-битной версией CCleaner 5.33. Как удалось определить, зараженная версия CCleaner была создана 15 августа; новую версию этого продукта — 5.34 — Piriform выпустила 12 сентября.

Анализ показал, что новоявленный зловред снабжен алгоритмом DGA для альтернативной связи с центром управления. При активации он расшифровывает и запускает на исполнение PE-загрузчик и свой экземпляр CBkdr.dll, защищенный от детектирования обнулением IMAGE_DOS_HEADER. Завершив процесс заражения, подставной инсталлятор выжидает 10 минут (на тот случай, если он запущен в отладчике), а затем приступает к выполнению основной задачи, предварительно проверив привилегии текущего пользователя.

При наличии прав администратора инициируется сбор информации о зараженной системе, при их отсутствии дальнейшее исполнение вредоносного кода прекращается. Раздобытые данные шифруются по base64 (модифицированный вариант) и отправляются по HTTPS на удаленный C&C-сервер. Примечательно, что в ходе тестирования при обращении к серверу (216[.]126[.]225[.]148) образец зловреда воспользовался прописанным в коде адресом в домене Piriform, так как попытка использовать DGA оказалась провальной — видимо, из-за какого-то бага.

Данные, возвращенные C&C-сервером, проверяются на соответствие формату полезной нагрузки. При положительном результате она расшифровывается и запускается на исполнение в памяти. По завершении этого процесса производится очистка выделенного буфера, в системном реестре изменяется текущее время, и возобновляются обычные операции CCleaner. Все эти действия направлены на сокрытие вредоносной активности.

CCleaner malware - Cisco Talos

Схематическое представление вредоносных операций (источник: Cisco)

Если основной C&C-сервер недоступен, подложный инсталлятор вновь запускает DGA, проверяя активность генерируемых доменов DNS-поиском. Как оказалось, ни один из 11 произвольно сгенерированных доменов не зарегистрирован, чем и воспользовались исследователи: они сыграли на опережение и установили свои ловушки.

Представляя подробности атаки, команда Talos не преминула отметить, что наличие действительного сертификата в арсенале зараженного CCleaner может свидетельствовать об упущениях в процессе разработки или подписания бинарных кодов. Исследователи также предупреждают, что ввиду высокой популярности CCleaner количество потенциальных жертв заражения может быть большим.

Согласно статистике, представленной на сайте Piriform, на настоящий момент на долю CCleaner приходится свыше 2 млрд установок по всему миру. Затронутые системы придется откатывать до состояния на 15 августа или устанавливать заново; во избежание неприятностей всем пользователям CCleaner рекомендуется установить версию 5.34 (бесплатный продукт не обновляется автоматически, так что придется это делать вручную).

Судя по сообщению в блоге Piriform, новый зловред проник также в 32-битную версию 1.07.3191 ее продукта. На настоящий момент доступ к серверу, раздававшему зловреда, закрыт, об инциденте было сообщено в правоохранительные органы, разработчик ведет расследование.

Update. 19 сентября в блоге Avast появилась дополнительная информация по киберинциденту, с хроникой событий. В частности, в этой записи уточняется, что количество потенциальных жертв — пользователей 32-битных версий CCleaner на настоящий момент составляет 2,27 млн, однако подавляющему большинству уже розданы патчи, и в итоге группа риска стремительно сократилась до 730 тысяч пользователей (сохранивших версию 5.33.6162). Благодаря вмешательству органов правоохраны C&C-сервер бэкдора был отключен 15 сентября.

Кроме того, в блог-записи Avast отмечено, что затронутым пользователям нет необходимости переустанавливать свои системы или откатывать их до состояния на 15 августа, достаточно лишь перейти на новейшую версию CCleaner.

Update 2. Согласно новой блог-записи Cisco Talos, целью данной атаки вполне могла быть кража интеллектуальной собственности. После сбора данных на два десятка зараженных хостов была роздана дополнительная нагрузка — еще один, но специализированный бэкдор. На C&C-сервере исследователи обнаружили список интересующих злоумышленников мишеней, ими оказались известные IT-компании: Microsoft, Sony, Intel, Cisco, VMware, Samsung, HTC, D-Link, Epson, Akamai, Linksys, Singtel, Vodafone.

Update 3. Avast опубликовала свои результаты анализа данных, найденных на C&C. Согласно логам, этот сервер был поднят в конце июля, за пару дней до внедрения зловреда в бинарный код CCleaner. Сбор информации о зараженных системах начался 11 августа, однако в базе данных MariaDB (форк MySQL), где она сохранялась, оказались лишь записи за период с 12 по 16 сентября — день, когда сервер был захвачен блюстителями правопорядка. Как оказалось, злоумышленники пользовались маломощной машиной, у которой 10 сентября попросту не осталось места на диске. В итоге через пару дней база собранных данных была стерта и переустановлена, что лишило исследователей возможности определить истинный масштаб заражения.

Проведенный в Avast анализ вредоносного кода, внедренного в CCleaner, показал большое сходство с бэкдором, созданным в 2014-15 гг. участниками китайской APT-группы, предположительно причастной к целевым атакам Aurora. К такому же выводу пришли эксперты «Лаборатории Касперского».

На миниатюре представлен скриншот, позаимствованный из блог-записи Cisco Talos.

Категории: Аналитика, Вредоносные программы