حادث أمني وجد مؤخرا في CCleaner



حادث أمني وجد مؤخرا في كلنر الإصدار 5.33.6162 و كلنر كلاود الإصدار 1.07.3191. تم تحديد نشاط مريب في 12 سبتمبر 2017، حيث رأينا عنوان إب غير معروف يتلقى بيانات من البرامج الموجودة في الإصدار 5.33.6162 من لينر، و لينر كلاود الإصدار 1.07.3191، على أنظمة ويندوز 32 بت. استنادا إلى مزيد من التحليل، وجدنا أن نسخة 5.33.6162 من كلنر و 1.07.3191 نسخة من كلنر الغيمة تم تعديلها بشكل غير قانوني قبل أن يتم إصدارها للجمهور، وبدأنا عملية التحقيق. كما اتصلنا على الفور بوحدات إنفاذ القانون وعملنا معهم على حل المسألة. قبل الخوض في التفاصيل التقنية، اسمحوا لي أن أقول أن التهديد قد حل الآن بمعنى أن الخادم المارقة هو أسفل، والخوادم المحتملة الأخرى هي خارج سيطرة المهاجم، ونحن نقل كل ماكنر v5.33.6162 القائمة للمستخدمين إلى أحدث إصدار. تلقى مستخدمو كلنر كلاود الإصدار 1.07.3191 تحديث تلقائي. وبعبارة أخرى، وعلى حد علمنا، كنا قادرين على نزع سلاح التهديد قبل أن يتمكن من القيام بأي ضرر.

الوصف الفني
تعديل غير مصرح به من الثنائية CCLER.exe أدى إلى إدراج مستتر من مرحلتين قادرة على تشغيل التعليمات البرمجية الواردة من عنوان إب بعيد على الأنظمة المتأثرة.

تم إخفاء رمز مشبوهة في رمز التهيئة التطبيق يسمى كرت (وقت التشغيل المشترك) التي يتم إدراجها عادة أثناء تجميع من قبل مترجم. تم تنفيذ هذا التعديل التعليمات البرمجية بواسطة استدعاءات الدالة التالية (الدالات التي تم تمييزها باللون الأحمر تمثل تعديلات كرت):



نفذ هذا التعديل الإجراءات التالية قبل رمز التطبيق الرئيسي:

    فك تشفير وتفكيك هاردكودد شلكود (10 كب كبير) - تم استخدام شفرات بسيطة شور القائم على هذا.
    وكانت النتيجة (16 كيلو بايت في الحجم) دل (مكتبة الارتباط الحيوي) مع رأس مز مفقودة.
    تم تحميل دل في وقت لاحق وتنفيذها في مؤشر ترابط مستقل.
    بعد ذلك، استمر تنفيذ عادي من رمز كرت و كلينر الرئيسي، مما أدى إلى موضوع مع الحمولة التي تعمل في الخلفية.

رسم توضيحي من رمز كرت مصحح (انظر الدعوة المضافة إلى روتين الحمولة النافعة في النسخة المعدلة):

كانت التعليمات البرمجية التي تم تنفيذها داخل هذا الموضوع مشوشة بشكل كبير لجعل تحليلها أكثر صعوبة (سلاسل مشفرة، ومكالمات أبي غير المباشرة، وما إلى ذلك). كان الشفرة المشبوهة تؤدي الإجراءات التالية:

    تخزين معلومات معينة في مفتاح التسجيل ويندوز هكلم \ سوفتوار \ بيريفورم \ أغومو:
        مويد: رقم تم إنشاؤه عشوائيا يحدد نظاما معينا. ربما أيضا لاستخدامها كمفتاح تشفير الاتصالات.
        تسيد: قيمة الموقت المستخدمة للتحقق من ما إذا كان سيتم تنفيذ إجراءات معينة (الاتصالات، وما إلى ذلك)
        نيد: عنوان إب لملقم نك الثانوي
    وبالإضافة إلى ذلك، جمعت المعلومات التالية عن النظام المحلي:
        اسم الكمبيوتر
        قائمة البرامج المثبتة، بما في ذلك تحديثات ويندوز
        قائمة العمليات قيد التشغيل
        عناوين ماك من محولات الشبكة الثلاثة الأولى
        معلومات إضافية حول ما إذا كانت العملية قيد التشغيل مع امتيازات المشرف، سواء كان نظام 64 بت، وما إلى ذلك.
    تم تشفير جميع المعلومات التي تم جمعها وتشفير من قبل base64 مع الأبجدية المخصصة.
    وبعد ذلك تم إرسال المعلومات المشفرة إلى عنوان إب خارجي 216.126.x.x (تم ترميز هذا العنوان في الحمولة النافعة، وقد ألقينا عمدا آخر ثمانيتين هنا) عبر طلب بوست هتبس. كان هناك أيضا إشارة [وهمية] إلى "المضيف: speccy.piriform.com" في الاتصالات.
    ثم قراءة التعليمات البرمجية ردا من نفس عنوان إب، مع تزويدها وظيفة لتحميل حمولة المرحلة الثانية من عنوان إب المذكور أعلاه. يتم استقبال حمولة المرحلة الثانية كسلسلة ترميز base64 مخصصة، مشفرة كذلك من قبل خوارزمية التشفير المستندة إلى شور كما كل السلاسل في رمز المرحلة الأولى. لم نكتشف تنفيذ حمولة المرحلة الثانية ونعتقد أن تفعيلها من غير المرجح للغاية.
    في حالة تعذر الوصول إلى عنوان إب، يتم تنشيط نسخة احتياطية في شكل دغا (مولد اسم النطاق) وتستخدم لإعادة توجيه الاتصال إلى موقع مختلف. لحسن الحظ، هذه المجالات ولدت ليست تحت سيطرة المهاجم ولا تشكل أي خطر.

في هذه المرحلة، التكهن كيف ظهر رمز غير مصرح به في برنامج كلنر، حيث نشأ الهجوم، ومتى كان يجري إعداده من قبل الذين وقفوا وراء ذلك. ولا تزال التحقيقات جارية.

Comments

Popular posts from this blog

تحميل اصدارات برنامج njRAT لاختراق الاجهزة 2017

Cybersecurity in 2018: Three predictions and one hope

Which phishing messages have a near 100% click rate?