Nová fakta ve vyšetřování útoku na CCleaner

Firma Avast je přední světová antivirová společnost, která v loňském roce posílila svoji pozici zakoupením konkurenčního AVG. Letos v nákupech pokračovala a zakoupila vývojářskou společnost Piriform, tedy i oblíbený nástroj CCleaner pro čištění počítačů s Windows. Jak jsme vás nedávno informovali, jeho verze 5.33 obsahovala malware.

!Upozornění - bohužel infikovaná utilita Avast CClener je umístěna i na Chip DVD 10/17. Pro použití nové verze sáhněte přímo k výrobci a stáhněte si bezpečnou verzi.

Tým Avast Security Threat Labs od té doby nepřetržitě pátrá po zdrojích a podrobnostech nedávného útoku na tento software. Útok, který se šířil do počítačů přes CCleaner, zasáhl mezi 15. srpnem a 15. zářím celkově 2,27 milionů uživatelů. Analýza dat z CnC serveru prokázala, že se jedná o APT (Advanced Persistent Threat) útok, který je vytvořen tak, aby vybraným uživatelům doručil druhou fázi útoku. Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek.

V době, kdy byl server odstaven, útočníci cílili především na velké technologické a telekomunikační společnosti v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Jednalo se o tzv. watering-hole attack, typ útoku, kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware. Vzhledem k zaměření CCleaneru na koncové uživatele, kteří nejsou pro útočníky příliš zajímaví, cílil útok pouze na specifickou skupinu uživatelů. Z důvodu ochrany osobních údajů v tuto chvíli Avast nezveřejnil seznam firem, na které se pachatelé zaměřili. Bude je kontaktovat přímo.

Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému. Útočníci využili dva rozdílné způsoby automatického spuštění. V systému Windows 7 a novějších verzích je binární soubor uložen do souboru s názvem "C: Windows system32 lTSMSISrv.dll" a jeho načtení zajišťuje automatické zavádění služby NT "SessionEnv" (služba RDP - vzdálená plocha). Na Winows XP se binární soubor uloží jako "C: Windows system32 spool prtprocs w32x86 localspl.dll" a kód použije k načtení službu "Spooler".

Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo v registru v klíčích "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion WbemPerf 00 [1-4]"). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok. Kromě toho, že Avast analyzuje technické parametry útoku, zároveň pokračuje ve spolupráci s policií a bezpečnostními složkami, aby vypátrali zdroj útoku.

Nadále platí doporučení pro běžné uživatele aktualizovat CCleaner na nejnovější verzi (nyní 5.35, zrušili jsme platnost digitálního podpisu napadené verze 5.33) a používat kvalitní antivirový produkt. Co se týká firemních uživatelů, další postup se může lišit a pravděpodobně bude dost záviset na IT pravidlech jednotlivých firem. V této fázi Avast nedokáže jednoznačně vyloučit, že byla zasažena i další firemní zařízení, přestože celý útok byl velmi specificky cílený.