安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“夭折”的供应链攻击:Defraggler被植入后门代码分析

概述

2017年9月18日,Piriform 官方发布安全公告,称旗下的CCleaner version 5.33.6162和CCleaner Cloudversion 1.07.3191版本软件被篡改并植入了恶意代码。被植入后门代码的软件版本被公开下载了一个月左右,导致百万级别的用户受到影响,泄露机器相关的敏感信息甚至极少数被执行植入了更多的恶意代码。

而在近日,360威胁情报中心监控到的样本文件显示Piriform旗下开发的另外一款磁盘碎片整理工具Defraggler的某一个版本也曾被篡改并植入了恶意代码,由于发现及时,被供应链攻击所污染的版本并没有被公开发布。360威胁情报中心对相关样本分析后确认受污染的Defraggler版本被植入了与CCleaner后门代码事件中相同的恶意代码。

事件时间线

基于公开的资料和分析,360威胁情报中心还原的相关多个事件的时间线如下:

2017年8月2日,CCleaner官方编译的主程序文件被植入恶意代码。

2017年8月3日,CCleaner官方Piriform给被感染软件打包签名开始对外发布。

2017年8月14日,Defraggler官方编译的主程序文件被植入恶意代码。

2017年9月11日,Defraggler官方Piriform给被感染软件进行数字签名。(由于被提前发现,该版本并未公开发布)

2017年9月12日,Piriform 官方发布新版软件CCleaner version 5.34去除被污染文件。

2017年9月14日,第三方注册恶意代码中预设的云控域名,阻止攻击。

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloudversion 1.07.3191版本软件被篡改并植入了恶意代码。

被污染的Defraggler样本分析

此次被污染的样本包括Defraggler安装包、Defraggler主程序、Defraggler DLL模块、Defraggler命令行工具等,360威胁情报中心针对其中的一个Defraggler主程序进行了分析确认。

VirusTotal上的样本信息

样本被上传到VT上的查杀情况如下:

image.png

文件信息

文件版本为2.22.0.995

image.png

编译时间为2017.8.14

image.png

数字签名时间为2017.9.11

image.png

数字签名证书当前已被颁发者吊销

image.png

通过文件的版本、签名等信息可以推测,Defraggler的这一版本在2017.8.14被编译并植入恶意代码,在2017.9.11被官方签署数字签名,而由于随后爆出的CCleaner被污染事件导致被污染的Defraggler版本并未如期发布,并且相关的签名证书也被颁发者直接吊销,这也避免了更多的互联网用户遭受攻击。

被污染的CRT代码位置

被植入的恶意代码代码位于CRT函数___onexitinit()中,调用过程如下:

___tmainCRTStartup()–>__cinit()–>__initterm_e()–>___onexitinit()–>Malicious call

恶意代码功能

被植入了恶意代码的Defraggler版本主要具备如下恶意功能:

1、攻击者修改程序静态导入库函数___onexitinit()以执行恶意代码。

2、收集主机信息(主机名、已安装软件列表、进程列表和网卡信息等)加密编码后通过https的post请求尝试发送到远程IP:216.126.225.148:443,且伪造http头的host字段为:speccy.piriform.com,并下载执行任意恶意代码,如果该IP失效则使用IP:211.158.54.161再次尝试连接。

3、若IP失效,则根据月份生成DGA域名,并再次尝试发送同样的信息,如果成功则下载执行任意恶意代码。

C&C关联信息

在360威胁情报中心数据平台里,搜索相关C&C IP可以得到如下信息:

image.png

可以看到相关IP地址已经被打上了CCleaner backdoor的标签。

附件

IOC

首次尝试回连的IP地址

IP 说明
216.126.225.148 后门代码第一次尝试发送信息的IP地址
211.158.54.161 后门代码第二次尝试发送信息的IP地址

DGA域名

域名 说明
abde911dcc16.com 2017年01月DGA域名
ab6d54340c1a.com 2017年02月DGA域名
aba9a949bc1d.com 2017年03月DGA域名
ab2da3d400c20.com 2017年04月DGA域名
ab3520430c23.com 2017年05月DGA域名
ab1c403220c27.com 2017年06月DGA域名
ab1abad1d0c2a.com 2017年07月DGA域名
ab8cee60c2d.com  2017年08月DGA域名
ab1145b758c30.com 2017年09月DGA域名
ab890e964c34.com 2017年10月DGA域名
ab3d685a0c37.com 2017年11月DGA域名
ab70a139cc3a.com 2017年12月DGA域名
abde911dcc16.com 2018年01月DGA域名
ab99c24c0ba9.com 2018年02月DGA域名
ab2e1b782bad.com 2018年03月DGA域名

文件HASH

MD5 文件说明
66061D0D0030F87C3BC5CDD426461F0E Defraggler主程序
8ACB173310FA7756A2090E448C0B54B7 DefragglerShell.dll
396BD32B9EB40AAA9DC23018BD49C461 Defraggler命令行工具
693b38dc5fab263e0a8dfe5da87ce099 Defraggler安装包

总结

通过360威胁情报中心针对受污染样本以及相关C&C的关联分析可知,Defraggler被植入的后门共享了CCleaner后门中完全相同的代码和C&C基础设施,软件被污染的时间上也高度重合,所以可以认为是同一次供应链攻击中的多个植入对象。

参考资料

https://ti.360.net/blog/articles/announcement-of-ccleaner-malware/

https://ti.360.net/blog/articles/in-depth-analysis-of-ccleaner-malware/

https://cert.360.cn/warning/detail?id=0dc8a230ad210be8a8b872a73b18d220

https://www.piriform.com/defraggler/version-history

*本文作者:360天眼实验室,转载请注明来之FreeBuf.COM

未经允许不得转载:安全路透社 » “夭折”的供应链攻击:Defraggler被植入后门代码分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册