Ein weiterer Nachtrag zum Thema CCleaner mit Malware verseucht. AVAST hat erneut zusätzliche Erkenntnisse vorgelegt, die auf die Urheber hindeuten. Zudem hat man wohl unheimlich Glück gehabt – ein Datenbank-Überlauf hat dazu geführt, dass nur begrenzt Daten gesammelt werden konnten. Mir ging die Info von AVAST heute per E-Mail zu. Hier einige Details.
Anzeige
Das ist der Hintergrund
Das Windows-Tool CCleaner von Piriform war zwischen dem 15. August und dem 12. September 2017 beim Download mit Malware verseucht. Die zum Download angebotene Version 5.33 der CCleaner App enthielt nach einem Bericht von Cisco Talos die Floxif-Malware. Angreifern war es gelungen, in die Build-Server von Piriform einzudringen und die Malware direkt in den CCleaner-Installer zu integrieren.
Hatte es ursprünglich noch geheißen: Alles kein Problem, wir konnten den Angriff stoppen, bevor Daten abflossen, änderte sich die Informationslage. AVAST, die Mutterfirma, die Piriform im Sommer 2017 übernommen hatte, musste eingestehen, dass es doch ernster war. Die Malware wurde über Millionen Rechner verteilt, interessierte sich aber vor allem für Firmenrechner von ca. 20 Firmen. Ich hatte dies im Blog-Beitrag AVAST: CCleaner Malware zielte auf Firmen angesprochen.
Weitere Erkenntnisse aus den Logdateien
Nach Auswertung weiterer Protokolldateien des C&C-Servers stellt sich heraus, dass man erstens sehr viel Glück hatte. Zudem standen möglicherweise weitere Firmen auf der 'Beuteliste' der Angreifer. Hier eine kurze Zusammenfassung der Kernpunkte.
- Es wurde eine Protokolldatei auf dem Server gefunden, aus der hervorging, dass der Speicherplatz der benutzten MariaDB-Datenbank zu Ende ging. Dies führte dazu, dass die CCleaner-Backdoor nur vier Tage lang Daten erfasst konnte.
- Neben den bereits veröffentlichten Domainnamen von Zielfirmen gibt es noch vier weitere Domains von zwei weiteren Unternehmen, die bisher von AVAST noch nicht erwähnt. Diese Domains waren auskommentiert, was die Vermutung nahelegt, dass wechselnde Ziele ausgespäht werden sollten.
- In der in der zweiten Stufe nachgeladenen Schadsoftware wurde eine modifizierte C Run-Time (CRT) gefunden. Diese enthielt Anweisungen, um den Registry Payload-Loader auszublenden. Dies zeigt, dass es keine Gelegenheitshacker waren, sondern dass die Urheber über spezielle Fähigkeiten verfügen.
- Es wurde auch ein (nicht so guter) Kill Switch in der Software gefunden. Ist die Datei %TEMP%\spf vorhanden, terminiert die Malware. Allerdings gibt es dort Programmierfehler.
- Bei der Analyse des Codes wurden drei verschiedene Ansätze gefunden, mit der die Malware die IP-Adresse des C&C Servers ermitteln kann. Neben einer auf GitHub gespeicherten und versteckten Nachricht in den Benutzerprofil-Details (inzwischen gelöscht), konnte die IP-Adresse auch über eine WordPress-Seite ermittelt werden. Der dritte Ansatz versucht die IP-Adresse aus DNS-Address-Records zu ermitteln.
Die gesamte Analyse der Avast Threat Labs mit den bisherigen Erkenntnissen lässt sich in diesem Blogbeitrag (Englisch) nachlesen. Dort wird auch die Vermutung geäußert, dass der Angriff von einer chinesischen Hackergruppe ausging. Hintergrund ist, dass der Code im CCleaner dem Schadcode ähnelte, der von der chinesischen Hackergruppe APT17 2014/2015 in der Aurora Malware verwendet wurde. Ein ergänzender Artikel, der die obigen Informationen aufbereitet, findet sich bei The Hacker News. Ergänzung: Bei heise.de sind noch einige Ergänzungen in diesem deutschsprachigen Artikel hinzugekommen.
Anzeige
Ähnliche Artikel:
Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs
Autsch: CCleaner als Malware-Schleuder
PUP: Kommt AVAST im Beipack mit Piriform CCleaner?
AVAST-Stellungnahme zur CCleaner-Backdoor
AVAST: CCleaner Malware zielte auf Firmen
Anzeige
Avast hat auf der Sicherheitskonferenz Virus Bulletin in Madrid neue Untersuchungsergebnisse zu den Hintergründen des CCleaner-Hack vorgestellt. Ein wichtiges Fazit: Was bislang vermutet wurde, hat sich wohl bestätigt. Windows-64-Bit-Systeme, auf denen die 64-Bit-Version von CCleaner ausgeführt wurde, sind demnach nicht von dem Angriff betroffen. Wer sich für Details interessiert, Golem.de hat heute berichtet: https://www.golem.de/news/avast-ccleaner-malware-hat-drei-stufen-und-verschont-64-bit-pcs-1710-130444.html