如何进行CCleaner恶意代码分析预警

发布时间：2021-12-28 15:01:57 作者：柒染
来源：亿速云阅读：119

如何进行CCleaner恶意代码分析预警，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

2017年9月18日,Piriform 官方发布安全公告,公告称旗下的CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191中的32位应用程序被篡改并植入了恶意代码。

360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。

据悉,CCleaner 产品的使用者很广泛,建议使用该产品的用户尽快进行排查升级处理。

0x01 事件影响面

1、影响面

CCleaner 产品的使用者很广泛,影响面大。

目前分析,受影响的CCleaner产品中的恶意代码具备执行任意代码的功能,危害严重。

2、影响版本

CCleaner version 5.33.6162

CCleaner Cloud version 1.07.3191

3、DNS请求态势

如何进行CCleaner恶意代码分析预警

0x02 部分技术信息

据官方公告,恶意代码存在于CCleaner.exe程序中,该恶意代码会接受并执行远程控制服务器(C2)发送过过来的指令,技术上属于二阶后门类型。

恶意代码通过TLS(线程局部存储/Thread Local Storage)回调处理的方式触发执行,TLS是一种Windows NT支持的特殊的存储类别,主要为了支持程序的构造。

存在于TLS回调中的恶意代码会先于main函数执行以下操作:

1、使用Xor方式解密和解压硬编码在程序中的shellcode(10kb大小)

2、解密出一个被抹掉MZ头部的DLL(动态库)文件(16 KB)

3、随后DLL文件被加载和执行一个独立线程,并长期在后台运行

随后,被加载运行的DLL代码基本都是高度混淆的代码(字符加密,间接API调用,等)。具体主要执行以下操作:

试图存储相关信息到Windows注册表中 HKLM\SOFTWARE\Piriform\Agomo:

MUID: 随机字符串,不确定是否用于通信;

TCID: 定时器执行周期;

NID: 控制服务器地址

试图收集以下的本地信息:

主机名

已安装软件列表,包括Windows更新

进程列表
前3个网卡的MAC地址

检测进程权限是否管理员权限,是否64位等

以上信息均已base64的方式进行编码。

编码后的信息被发送到一个固定的远程IP地址 216[.]126[.]225[.]148 ,通信上采用HTTPS POST和伪造HOST:speccy.piriform.com的方式进行传输。

接着恶意代码会接收216[.]126[.]225[.]148发送回来的二阶payload。该二阶payload使用base64编码,可通过一阶中的Xor算法进行解密。

为防止该IP失效,恶意代码还示用了DGA(domain name generator)的方式来躲避跟踪,目前这些域名已经确定不属于攻击者控制了。

相关阅读