本周Avast旗下知名系统清理软体CCleaner被发现遭植入後门程式,致上亿用户有电脑机密资料外泄之虞。不过实际情况可能比这更严重;研究人员发现,其中潜藏的恶意程式已感染200多万台电脑,受害者甚至包括微软、思科、三星,以及微星、友讯、HTC等20家知名公司。
透过广受欢迎的CCleaner 5.33.6162版散布的攻击程式,是一个2阶段下载的APT(Advanced Persistent Threat)攻击手法,并与外部C&C服务器建立连结。Avast Security及Cisco Talos研究人员原本以为还未发生,但在拿下C&C服务器取得其资料後分析发现,它已经开始向外扩散。
Avast指出,在8月15日到9月15日之间全球共227万台电脑受到影响。从三天的C&C服务器纪录来看,来自8个组织的20台电脑收到第2阶段的指令,实际收到第2阶段命令的电脑数量可能有数百台。
Avast研究人员认为这波攻击锁定台湾、日本、英国、德国及美国的大型科技业、电信公司,但不愿意公开揭露名单,仅个别私下通知这些公司。
Cisco Talos的研究人员仅采样9月的4天C&C服务器连线纪录,根据研究人员贴出的荧幕截图(下图,来源:Talos),包括微软、思科、HTC、微星、友讯、英特尔、VMware、三星、Sony、Google/Gmail等在清单上。
从9月12日到15日的4天,C&C服务器的资料即显示有超过70万台电脑和其连线。电脑中的重要资讯,包括IP位址、上线时间、主机及网域名称等都已悄悄传回外部服务器,而让攻击者决定下一阶段准备攻击哪些机器。而这段采样的时间,至少20台电脑收到第二阶段的指令,显示是有目标性的攻击行动。
研究人员发现,第2阶段攻击程式相当复杂,目前只知它使用的是另一个C&C控制网络,而且包含第3阶段的无档案(fileless)攻击,会在受害电脑记忆体中注入恶意程式。但因为大量运用反侦错(anti-debugging)及防模拟的手法隐藏其内部架构,研究人员正在和执法单位还在努力解析中。
至於背後攻击者也还不得而知。但Talos发现该後门程式部门程式码和一个与中国有关的骇客活动有重叠之处,而且从该C&C服务器使用的时区研判,可能和中国有关。
