有消息稱,流行的 PC 和 Android 優化軟件 CCleaner 的受感染版本已向大量計算機用戶傳播惡意軟件。這一消息於週一早上首次在網絡上曝光,當時該軟件的開發者 Piriform 發布了一份博客文章關於這個問題。好消息是,只有在 32 位 Windows 系統上運行 CCleaner 的用戶才會受到影響。
自故事首次曝光以來,計算機安全公司 Avast宣布多達 227 萬 CCleaner 用戶可能受到隱藏在流行 PC 性能優化軟件官方版本中的惡意軟件的影響。此後,思科的研究顯示,真實的感染數量較低,約為 700,000 台電腦。
根據 Piriform 的博客文章,受感染的 CCleaner 副本在 8 月 15 日至 9 月 12 日期間傳播。 Piriform 表示,受到損害的軟件版本是 CCleaner 5.33.6162 和 CCleaner Cloud 1.07.3191。
Piriform 敦促所有 CCleaner 用戶盡快下載 5.34 或更高版本。值得注意的是,CCleaner Cloud 的用戶將自動收到更新。然而,其他 CCleaner 用戶可能仍在運行受感染的版本,因此手動更新對於這些消費者來說極其重要。
目前尚不清楚黑客是如何將惡意代碼隱藏在 CCleaner 官方版本中的。來自 Piriform 的博客文章:
“我們發現CCleaner 5.33.6162版本和CCleaner Cloud 1.07.3191版本在向公眾發布之前就被非法修改,我們啟動了調查程序。我們也立即聯繫了執法部門並與他們一起解決這個問題。”
“非敏感”數據被盜
到目前為止,Piriform 已經能夠確定該惡意軟件正在與位於美國的命令與控制 (CnC) 服務器進行通信。黑客似乎利用該惡意軟件獲取了該公司所說的“非敏感”數據。
這些數據包括用戶的計算機名稱、IP 地址、計算機上已安裝軟件的完整列表、活動軟件列表以及網絡適配器列表。 Piriform 已通知用戶:
“我們沒有跡象表明任何其他數據已發送到服務器。
“我們與美國執法部門合作,在造成任何已知損害之前於 9 月 15 日關閉了該服務器。如果在服務器被禁用且我們完成初步評估之前公開此事,將會妨礙執法機構的調查。”
Avast 的參與
有趣的是,安全巨頭Avast(為全球計算機用戶提供安全產品)最近才收購了CCleaner的開發商Piriform。此次收購僅在兩個月前(即 2017 年 7 月)完成。因此,至少可以說,這次攻擊的時機有點令人頭疼。事實上,該惡意軟件在向公眾發布之前就已進入 CCleaner 的官方版本,這可能意味著黑客正在從內部進行攻擊。只有時間才能證明一切。
Avast 的發言人發表了以下評論:
“我們相信這些用戶現在是安全的,因為我們的調查表明我們能夠在威脅造成任何傷害之前解除威脅。
“我們估計有 227 萬用戶在 32 位 Windows 計算機上安裝了受影響的軟件。”
一些好消息
儘管初步估計感染人數很大,但 Piriform 似乎相當幸運。在 Avast 被收購時,據稱 CCleaner 擁有高達 1.3 億的活躍用戶,其中 Android 用戶達到 1500 萬。由於感染僅限於在 32 位 Windows PC 上運行的 CCleaner 版本,因此受影響的 CCleaner 用戶似乎相對較少(根據思科的說法,只有 700,000 台計算機)。
企業目標
儘管 CCleaner 只針對一小部分用戶,但有證據表明現在出現了黑客非常明確地試圖感染公司目標。安全專家在分析黑客使用的 CnC 服務器後發現了這一消息。
思科 Talos 安全部門的研究人員聲稱,他們發現了 20 家大公司成為專門感染目標的證據。這些公司包括英特爾、谷歌、三星、索尼、VMware、HTC、Linksys、微軟、Akamai、D-Link 和思科本身。據思科稱,在大約一半的案例中,黑客成功感染了至少一台機器。這充當了他們的 CnC 服務器的後門,以提供更複雜的有效負載。思科認為該漏洞旨在用於企業間諜活動。
有趣的是,根據思科和卡巴斯基的說法,CCleaner 中包含的惡意軟件代碼與被稱為 Group 72 或 Axiom 的中國政府黑客所使用的漏洞共享一些代碼。現在下結論還為時過早,但這可能意味著網絡攻擊是一次由國家支持的行動。
Talos 研究經理 Craig Williams 評論說,
“當我們最初發現這個問題時,我們知道它已經感染了很多公司。現在我們知道它被用作針對全球這 20 家公司的天羅地網……以在那些擁有有價值的東西可竊取的公司中站穩腳跟,不幸的是,其中包括思科。”
儘早發現
值得慶幸的是,Piriform 能夠及早發現攻擊,阻止事態進一步惡化。 Piriform 副總裁 Paul Yung 評論道:
“現階段,我們不想猜測未經授權的代碼是如何出現在 CCleaner 軟件中的、攻擊源自何處、準備了多長時間以及幕後黑手是誰。”
然而,思科很快指出,對於成為目標的公司(他們已經聯繫過的公司)來說,僅僅更新 CCleaner 可能還不夠,因為輔助有效負載可能隱藏在他們的系統中。它可能與迄今為止尚未發現的一台單獨的 CnC 服務器進行通信。這意味著黑客可能會向這些計算機發起更多的攻擊。
因此,思科建議將所有可能受感染的計算機恢復到安裝 Piriform 軟件受污染版本之前的時間。
TR/RedCap.zioqa
根據一位名叫 Sky87 的 CCleaner 用戶在周二打開 CCleaner 來檢查他們的版本。此時,32 位二進製文件立即被隔離,並顯示一條消息,將惡意軟件標識為 TR/RedCap.zioqa。 TR/RedCap.zioqa 是安全專家熟知的木馬。 Avira 將其稱為:
“一種能夠刺探數據、侵犯您的隱私或對系統進行不需要的修改的特洛伊木馬。”
該怎麼辦
如果您擔心自己的 CCleaner 版本,請檢查系統中的 Windows 註冊表項。為此,請轉至:HKEY_LOCAL_MACHINE > SOFTWARE > Piriform > Agomo。如果存在 Agomo 文件夾,則會有兩個值,名為 MUID 和 TCID。這表明您的計算機確實被感染了。
值得注意的是,將系統更新到 CCleaner 版本 5.34 不會從 Windows 註冊表中刪除 Agomo 密鑰。它只是將惡意可執行文件替換為合法可執行文件,從而使惡意軟件不再構成威脅。因此,如果您已經更新到最新版本的 CCleaner 並看到 Agomo Key,則無需擔心。
對於擔心自己的系統可能感染 TR/RedCap.zioqa 木馬版本的任何人,最好的建議是使用免費的惡意軟件檢測和刪除工具間諜獵人。或者,還有刪除木馬的分步指南這裡。
意見是作者自己的。
標題圖片來源:CCleaner 徽標的屏幕截圖。
圖片來源:dennizn/Shutterstock.com、Vintage Tone/Shutterstock.com、Denis Linine/Shutterstock.com、Iaremenko Sergii/Shutterstock.com