CCleaner violato: l'hack è ben più grave di quanto previsto

CCleaner violato: l'hack è ben più grave di quanto previsto

Ad essere stati presi di mira con l'attacco a CCleaner non solo i computer degli utenti, ma anche grosse firme del settore tecnologico con aggressioni ad-hoc

di Nino Grasso pubblicata il , alle 18:01 nel canale Sicurezza
 

L'hack su CCleaner è, secondo vari ricercatori di sicurezza, ben più grave rispetto a quanto previsto in un primo momento. Gli aggressori, infatti, non intendevano prendere di mira semplicemente i computer degli ignari utenti, fiduciosi della provenienza del software, ma il loro obiettivo era guadagnare i segreti delle firme più importanti del settore tecnologico.

Mercoledì scorso i ricercatori della divisione di sicurezza Talos di Cisco hanno dichiarato che più di 700 mila macchine sono state coinvolte nell'attacco al popolare software di manutenzione per PC. Gli hacker hanno utilizzato le informazioni raccolte dai sistemi infettati per identificare almeno 20 aziende tecnologiche d'alto profilo, fra cui la stessa Cisco. L'attacco vero e proprio è stato condotto in un secondo momento nei confronti di queste società.

Secondo i ricercatori questo "suggerirebbe un esecutore alla ricerca di specifiche proprietà intellettuali di valore". Oltre Cisco, fra le società coinvolte troviamo nomi del calibro di Google, Intel, Microsoft, Samsung, Sony, HTC e Linksys, così come VMware, Akamai, Vodafone, D-Link e Singtel. I ricercatori di Talos hanno naturalmente contattato tutte le aziende potenziali vittime nell'attacco, informandole della possibile compromissione dei loro sistemi.

"Quanto scoperto aumenta certamente il livello di preoccupazione che abbiamo su questo fenomeno, visto che gli elementi in nostro possesso fanno pensare ad un esecutore ignoto, ma con competenze avanzate", si legge nella nota. Durante l'attacco il malware potrebbe contattare periodicamente i server command and control del'aggressore trasmettendo a questi ultimi informazioni sensibili, fra cui indirizzi IP, tempi di up, hostname, nomi dominio, ed altro.

"È probabile che queste informazioni siano state utilizzate dagli aggressori per determinare quali macchine avrebbero potuto prendere di mira durante gli stadi finali della campagna. Quando congiunte, le informazioni avrebbero permesso all'aggressore di iniziare un'infezione a più alto livello in modo da essere irriconoscibile e stabile". Per proteggersi adesso è comunque sufficiente installare le ultime versioni di CCleaner disponibili, fra quelle rilasciate al pubblico.

I ricercatori di Talos sostengono però che rimuovere la versione infetta di CCleaner o aggiornare all'ultima versione non è sufficiente per chi è stato raggiunto dall'attacco "Stage 2". In questo caso bisognerebbe ripristinare un eventuale backup precedente all'installazione delle versioni del software coinvolte, in modo da cancellare non solo CCleaner ma anche qualsiasi altro malware che quest'ultimo ha fatto attecchire all'interno del sistema.

94 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Maxt7522 Settembre 2017, 18:29 #1
Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?
ImperatoreNeo22 Settembre 2017, 18:45 #2
L’ultima release (dovrebbe) essere pulita ma se il tuo sistema é compromesso ormai non cambia che versione metti.
Ccleaner dovrebbe sviluppare (a sue spese e subito!) un tool per rimuovere il malware altrimenti tanta gente li eviterá come la peste (tra chi li usava).
ulukaii22 Settembre 2017, 19:00 #3
Originariamente inviato da: Maxt75
Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?

Già la 5.34 di settimana scorsa era pulita, ma era ancora firmata con il vecchio certificato (non revocato). La nuova 5.35 ha:
- All builds signed with new Digital Signatures

Cosa che avrebbero dovuto fare fin da subito (vale per tutte le versioni, standard, slim e portable).

Per quanto riguarda eventuali infezioni residenti nel sistema (Payload Stage 2), quest'articolo (qui) spiega rapidamente senza creare allarmismi (aka clickbait) cosa cercare per verificare se nel sistema sia stato presente (o sia presente) qualche traccia. Nello specifico verificare se vi siano le chiavi di registro:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Occhio che la chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf

è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla

In aggiunta è possibile cercare anche questi files:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

PS: qui trovate info più dettagliate sul funzionamento.
metrino22 Settembre 2017, 19:10 #4
@ulukaii : Grazie infinite!

(e per fortuna io non ero infetto, credo di aver saltato quella versione per puro caso)
fraussantin22 Settembre 2017, 19:14 #5
Edit
metrino22 Settembre 2017, 19:16 #6
@fraussantin : scusa, ma l'ha appena scritto ulukaii 3 post fa...
fraussantin22 Settembre 2017, 19:19 #7
Scusa non avevo letto.

Dopo controllo.
Ale55andr022 Settembre 2017, 19:23 #8
Originariamente inviato da: ulukaii

Occhio che la chiave

è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla

In aggiunta è possibile cercare anche questi files:

PS: qui trovate info più dettagliate sul funzionamento.



sito irraggiungibile

e io avevo la versione 5.33

A ogni modo ho disinstallato CCL e basta, conscio che comunque di per se non è una soluzione. Pensare che l'avevo installato per ripulire eventuali tracce dei driver della precedente vga su suggerimento altrui , quando di solito non uso MAI sto software e ci penso io a mantenere pulito il sistema


Ad ogni modo il mio registro di sistema è così:

https://imgur.com/a/CXCZk

mi pare di capire che sia apposto
ulukaii22 Settembre 2017, 19:28 #9
Sì è ok. Comunque il link io riesco ad aprirlo, ma alla fine contiene sostanzialmente le info che ho postato sopra, basta cercare la presenza di quelle chiavi per vedere se c'è il payload.

Ci sarebbe anche un'altra cosa, che avevo scritto nella precedente news (qui) e cioè, verificare l'eventuale sola installazione del malware e cioè la chiave:
- HKLM\Software\Piriform\Agomo\...

Questa chiave non deve esserci se si utilizza Ccleaner. Come ho indicato lì, personalmente avevo una macchina (Win 10 x86) in cui ho trovato tale chiave, ma dove non ho poi trovato alcuna ulteriore traccia residua (neanche del payload).

C'è anche da aggiungere, giusto per far chiarezza, che era compromesso l'exe a 32bit di Ccleaner, indipendentemente dalla versione usata (standard, slim o portable) e non era una cosa che veniva installata in fase d'installazione, ma si attivava proprio con l'uso dell'eseguibile, in pratica avviando il programma (di default mette anche un'azione pianificata all'avvio, quindi riavviando la macchina è come se lo si utilizza). Tuttavia su sistemi x64 non veniva mai usata la versione 32bit (sebbene l'exe sia presente, viene sempre usato quello a 64bit che non era compromesso).

Su altre macchine x64, pur avendo avuto la 5.33, non ho nemmeno individuato tracce della key Agomo, segno che l'exe a 32bit non sia mai stato usato.
s-y22 Settembre 2017, 19:31 #10
non è bellissima sta cosa

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^