CCleaner恶意代码分析预警

0x00 事件描述

---

　　2017年9月18日，Piriform 官方发布安全公告，公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位使用程序被篡改并植入了恶意代码。[参考1]

　　360CERT经过跟踪分析，确认官方描述的版本中确实存在恶意代码，且该恶意代码具备执行任意代码的功能，影响严重。

　　据悉，CCleaner 产品的运用者很广泛，建议运用该产品的用户尽快进行排查升级处理。
0x01 事件影响面

---

影响面
　　CCleaner 产品的运用者很广泛，影响面大。
　　现在分析，受影响的CCleaner产品中的恶意代码具备执行任意代码的功能，危害严重。

影响版本
CCleaner version 5.33.6162
CCleaner Cloud version 1.07.3191
DNS请求态势

注：该图来自360网络安全研究院
0x02 部分技术信息

---

　　注：部分信息来自[参考1]和[参考2]

　　据官方公告，恶意代码存在于CCleaner.exe程序中，该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令，技术上属于二阶后门类型。

　　恶意代码通过TLS（线程局部储存/Thread Local Storage）回调处理的方式触发执行，TLS是一种Win NT支持的特殊的储存类别，主要为了支持程序的构造。

存在于TLS回调中的恶意代码会先于main函数执行以下操作：

　　1. 运用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)

　　2. 解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)

　　3. 随后DLL文件被加载和执行一个独立线程，并长期在后台运行

　　4. 随后，被加载运行的DLL代码基本都是高度混淆的代码（字符加密，间接API调用，等）。

具体主要执行以下操作：

　　1. 试图储存相关信息到Win注册表中 HKLM\SOFTWARE\Piriform\Agomo：

　　2. MUID: 随机字符串，不确定是否用于通信；

　　3. TCID: 定时器执行周期；

　　4. NID: 控制服务器地址

试图收集以下的本地信息：

　　1. 主机名

　　2. 已安装软件列表，包括Win更新

　　3. 进程列表

　　4. 前3个网卡的MAC地址

　　5. 检测进程权限是否管理员权限，是否64位等

以上信息均已base64的方式进行编码。

　　编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148，通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。

　　接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload运用base64编码，可通过一阶中的Xor算法进行解密。

　　为防止该IP失效，恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪，现在这些域名已经确定不属于攻击者控制了。

DGA生成算法

获得本地信息

字符串混淆

API间接调用

搜集非微软的安装程序

枚举系统活动进程

Indicators of Compromise (IOCs)
域名地址
日期域名 DGA域名列表
2017年01月 abde911dcc16.com
2017年02月 ab6d54340c1a.com
2017年03月 aba9a949bc1d.com
2017年04月 ab2da3d400c20.com
2017年05月 ab3520430c23.com
2017年06月 ab1c403220c27.com
2017年07月 ab1abad1d0c2a.com
2017年08月 ab8cee60c2d.com
2017年09月 ab1145b758c30.com
2017年10月 ab890e964c34.com
2017年11月 ab3d685a0c37.com
2017年12月 ab70a139cc3a.com
2018年01月 abde911dcc16.com
2018年02月 ab99c24c0ba9.com
2018年03月 ab2e1b782bad.com
文件哈希
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9
IP地址
216[.]126[.]225[.]148
0x03 安全建议

---

　　1. 建议用户尽快下载最新版本进行更新
　　下载链接：https://www.piriform.com/ccleaner/download/standard 

　　2. 现在 360安全卫士 已经更新并能拦截受影响的文件。如您不确定是否受影响，您可以下载360安全卫士进行安全评估。
0x04 时间线

---

2017-09-18 事件披露
2017-09-18 360CERT发布预警通告
0x05 参考链接

---

　　1. Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Win users
　　http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
　　2. Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Win users
　　http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html