CCleaner被感染事件与中国黑客组织APT17有关？

9月22日讯 持续整个夏季并于本周刚刚曝光的CCleaner黑客事件造成230万用户受到感染，卡巴斯基和思科安全研究人员推测这起事件可能出自于网络黑客组织APT17之手，且其目标主要指向西方各科技企业。

CCleaner与Axiom的木马软件代码相似

种种线索将Cleaner事件当中浮现的证据同Axiom这一网络间谍组织连接起来——该组织亦被称为APT17、ViceDog、Tailgater Team、Hidden Lynx、Voho、Group 72以及AuroraPanda。这些不同的名称来自将其发现的不同安全厂商。
卡巴斯基实验室全球研究与分析团队负责人Rostin Raiu（考斯汀·拉尤）首先发现CCleaner应用程序内恶意代码与Axiom恶意软件之间存在关联。
在CCleaner事件曝光的第二天，Raiu指出CCleaner恶意软件与此前曾经由Axiom使用的Missl后门木马存在相似之处。


由思科Talos小组发布的最新的先关报告中，研究人员们也确认了Raiu的这一相似性结论。
思科Talos小组研究员Craig Williams（克雷格·威廉姆斯）在接受邮件采访时指出，“目前并不能确定这一切的幕后黑手就是Axiom，但二者确实共享部分代码。”很明显，他的回应显示出经验丰富的安全研究人员在网络间谍活动归因方面所抱持的谨慎态度。



CCleaner的C&C服务器正在被调查

除了确认卡巴斯基方面的发现之外，思科Talos小组还表示某第三方向其提供了一份命令与控制服务器文件副本，该服务器正是本次从受感染主机上收集设备信息的CCleaner污损版本的发布平台，其中即包含相关数据库。
恶意版本收集的具体信息包括计算机名称、已安装软件列表、当前运行进程列表、前三个网络接口MAC地址以及每台计算机的惟一ID标识。
思科公司的研究人员们还对自有设备的收集数据进行检查，从而证明这套数据库确实真实可信。
CCleaner的另一项恶意功能并未启用
初步分析报告认为该恶意软件能够下载第二阶段有效载荷并执行其它恶意软件。在对文件进行分析之后，研究人员们意识到CCleaner恶意软件（Floxif）——的初步分析报告并不成立。在对该C&C服务器数据库进行分析之后，研究人员们表示恶意操作者仅利用该功能在全球范围内感染了20台计算机。
运行在该C&C服务器上的PHP文件会对用户及适合下载第二阶段恶意软件（一款轻量化后门）的计算机ID。研究人员们指出，第二阶段后门负责“从github.com或者wordpress.com搜索相关数据当中检索一条IP”，并进一步在目标系统上下载更多恶意软件。
攻击者主要针对一份科技企业名单实施行动

思科公司Talos小组解释称，攻击者们根据目标计算机的域名信息选择受害者。
被攻击者瞄准的除了思科公司自身之外，还有包括Singtel、HTC、三星、索尼、Gauselmann、英特尔、VMware、O2、沃达丰、Linksys、爱普生、MSI、Akamai、DLink、甲骨文（Dyn）甚至是微软与谷歌（Gmail）等巨头级企业。



思科已经与受影响的企业取得联系，并通报其可能遭遇的安全违规问题。
研究人员对自己的发现极具信心，因为该C&C服务器数据库当中包含两份主表，其一列出一切受到第一阶段恶意软件（即Floxif，负责面向全部用户进行信息收集）感染的主机; 其二则持续追踪全部受到第二阶段恶意软件感染的计算机。
第一份表格中包含超过700万台计算机的相关数据，而第二份表格在排除重复部分后仅包含20台计算机的相关数据。两份表格所存储的条目皆创建于今年9月12日到9月16日之间。
威廉姆斯在采访中指出，“就目前来看，9月12日之前的数据似乎被删除掉了。这可能是为了故意限制从服务器当中导出的信息量。”

攻击者能够针对其想要针对的一切目标

思科公司表示，这份数据库极具实际价值。举例来说，只需要运行一条简单的SQL查询命令，思科研究人员即可发现540台处于政府网络当中的计算机，外加51台处于银行网络中的计算机。



思科公司研究人员解释称，这表明通过利用基础设施与相关恶意软件的组合攻击者们就能够实现这一级别的访问能力，此次攻击的严重性与潜在影响不言而喻。
应采取哪些安全措施？
由于C&C服务器当中的数据尚不完整，且攻击者下载了一款静默第二阶段下载器，因此运行有污损版本CCleaner软件的用户应当将其彻底清除或者恢复至8月15日之前（即两款污损CCleaner版本发布之前）的备份版本。需要强调的是，此前安全人员给出的建议仅仅是更新现有CCleaner应用程序。

该恶意组织长期针对科技企业

尽管CCleaner黑客活动与Axiom之间的关联性证据还相当有限，但Axiom组织过去一直专挑科技企业作为攻击目标。该团队投入大量精力入侵此类目标，特别是在2010年年初。
而这种攻击方式也引起了思科、FireEye、F-Secure、微软、Tenable、ThreatConnect、ThreatTrack Security、Volexity、Novetta以及赛门铁克等网络安全厂商的重视。
这些企业共同组织起SMN行动，旨在共同努力以揭露该组织使用的工具及技术手段。思科公司Talos小组最近发布的报告亦对IOC以及C&C服务器文件作出了进一步分析，并表示C＆C服务器配置使用的是中国时区。


而作为CCleaner软件的开发商，Avast公司也发布了一篇关于此次事件的调查进展博客文章，其中确认了攻击者主要针对大型科技企业实施攻击的说法。

CCleaner被感染恶意软件事件——您需要了解的一切以及如何应对

CCleaner是一款拥有超过20亿次下载的互联网安全软件，最近的新版本被黑客攻击劫持向用户分发含有后门的恶意软件，受感染的版本被227万人使用。如果您在今年8月15日到9月12日之间在自己的计算机上通过官方网站下载或者更新CCleaner应用，您的计算机已经受到入侵！以下是您需要了解的一切以及如何应对方案：



出什么事了？

某不知名网络黑客组织入侵了CCleaner基础设施。

攻击者向32位CCleaner 5.33.6162版本以及CCleaner Cloud 1.07.3191版本添加了恶意软件。

这部分文件将影响到曾于今年8月15日到9月12日之间下载CCleaner软件的用户。

谁会受到影响？

每一位曾在上述时段之内下载并安装此受感染版本的用户都将受到影响。

Avast公司估计受影响设备数字为227万台。

该恶意软件会造成哪些麻烦？

这款名为Floxif的恶意软件会从受感染计算机中收集各类数据，具体包括计算机名称、已安装软件列表、当前运行中进程列表、前三个网络接口的MAC地址以及每台计算机所特有的惟一ID等等。

此恶意软件还会下载并执行其它恶意软件，不过Avast方面表示其尚未发现有证据表明攻击者曾使用这项功能。

该如何解决？

此恶意软件被嵌入至CCleaner的可执行文件当中。将CCleaner升级至v5.34即可移除旧有可执行文件及该恶意软件。CCleaner并不会自动更新，因此用户必须手动下载并安装CCleaner 5.34。

Avast公司指出，其已经为CCleaner Cloud用户推送了更新，因此这部分用户将不会受到影响。目前CCleaner Cloud的清洁版本为1.07.3214。

还有哪些细节？

此恶意软件只会在用户使用管理员帐户时执行。如果您使用低权限帐户以安装CCleaner 5.33，则不会受到影响。不过仍然建议大家更新至5.34版本。

为何反病毒软件无法发现这一感染？

CCleaner库当中包含的恶意软件拥有有效的数字证书签名。