CCleaner violato: l'hack è ben più grave di quanto previsto

[ulukaii]

Quote:

Originariamente inviato da gerko

L'articolo è fatto male, ho capito qualcosa solo grazie ai commenti degli utenti.

In pratica solo alcune versioni tra le più recenti contenevano un malware. Io ne ho una vecchia e non ho problemi ad esempio.
Grazie Ulukaii per aver scritto per primo le chiavi da controllare. Lunedì a lavoro mi tocchera fare un controllo, ma credo proprio abbiamo una di queste con malware.

Guarda, ho letto molto sull'argomento in questi giorni, su molti forum, quindi lasciando perdere gli articoli sensazionalistici o fatti per attirare utenti verso i propri software AV o tools.

L'obiettivo di un attacco così sofisticato era quello di raccogliere informazioni interne su grosse società, in modo da poter in seguito effettuare attacchi mirati, in pratica si dice che sia una sorta ti continuazione di Operation Aurora.

Sul funzionamento del malware in se, occorreva che su un sistema operativo a 32bit venisse lanciato e rimanesse in funzione Ccleaner (versione 32 che era appunto quella compromessa) per 10 minuti e allo stesso tempo avesse accesso alla comunicazione esterna (quindi che un firewall non gli impedisse di ricevere/inviare dati). A quel punto, avveniva la creazione della key Agomo (in pratica backdoor). I software AV o firewall non vedevano questa come anomalia, in quanto l'applicazione era certificata e firmata, poteva quindi accedere a registro e comunicare all'esterno, salvo configurazioni particolari (tipo bloccare tutte le connessioni in uscita anche alle app legittime).

Su sistemi a 64bit, sebbene potesse essere presente (o richiamato all'avvio) l'exe x32 di Ccleaner (esempio gli installer standard/slim lasciano nella cartella anche l'exe x32), questo rimandava alla versione x64, quindi la cosa finiva lì.

Lato pratico, basta controllare se sul sistema c'è la key Agomo (HKLM\Software\Piriform\...), questo però implica solo la prima fase (anche a seconda di cosa ci sia dentro, 1, 2 o 3 voci) e la sua eventuale presenza non significa che sia avvenuta la fase 2 (payload), le cui ulteriori tracce sarebbero le key indicate negli ultimi articoli nei blog Avast/Talos o quello che riassumeva brevemente il tutto su ghacks che avevo postato all'inizio.

[principe Vlad]

Quote:

Originariamente inviato da ulukaii

Guarda, ho letto molto sull'argomento in questi giorni, su molti forum, quindi lasciando perdere gli articoli sensazionalistici o fatti per attirare utenti verso i propri software AV o tools.

L'obiettivo di un attacco così sofisticato era quello di raccogliere informazioni interne su grosse società, in modo da poter in seguito effettuare attacchi mirati, in pratica si dice che sia una sorta ti continuazione di Operation Aurora.

Sul funzionamento del malware in se, occorreva che su un sistema operativo a 32bit venisse lanciato e rimanesse in funzione Ccleaner (versione 32 che era appunto quella compromessa) per 10 minuti e allo stesso tempo avesse accesso alla comunicazione esterna (quindi che un firewall non gli impedisse di ricevere/inviare dati). A quel punto, avveniva la creazione della key Agomo (in pratica backdoor). I software AV o firewall non vedevano questa come anomalia, in quanto l'applicazione era certificata e firmata, poteva quindi accedere a registro e comunicare all'esterno, salvo configurazioni particolari (tipo bloccare tutte le connessioni in uscita anche alle app legittime).

Su sistemi a 64bit, sebbene potesse essere presente (o richiamato all'avvio) l'exe x32 di Ccleaner (esempio gli installer standard/slim lasciano nella cartella anche l'exe x32), questo rimandava alla versione x64, quindi la cosa finiva lì.

Lato pratico, basta controllare se sul sistema c'è la key Agomo (HKLM\Software\Piriform\...), questo però implica solo la prima fase (anche a seconda di cosa ci sia dentro, 1, 2 o 3 voci) e la sua eventuale presenza non significa che sia avvenuta la fase 2 (payload), le cui ulteriori tracce sarebbero le key indicate negli ultimi articoli nei blog Avast/Talos o quello che riassumeva brevemente il tutto su ghacks che avevo postato all'inizio.

Ho installato l'ultima versione la 5.35 non aggiornamento ma da modalità standard e in effetti essendo win 10 a 64 bit a preso la versione a 64 bit, nella directory del programma è infatti presente anche l'exe a 32bit, ma come hai detto tu, la presenza del exe a 32bit non dovrebbe creare problemi se non avviato, dico bene?

[ulukaii]

Quote:

Originariamente inviato da principe Vlad

Ho installato l'ultima versione la 5.35 non aggiornamento ma da modalità standard e in effetti essendo win 10 a 64 bit a preso la versione a 64 bit, nella directory del programma è infatti presente anche l'exe a 32bit, ma come hai detto tu, la presenza del exe a 32bit non dovrebbe creare problemi se non avviato, dico bene?

No, anche perché avvierebbe la versione x64. In ogni caso già dalla 5.34 l'exe è non è più infetto, in più la 5.35 ha un nuovo certificato (la 5.34 era firmata ancora con il vecchio, ora revocato).

Volendo puoi pure cancellare a mano l'exe x32, ma prima occorre disabilitare un paio di impostazioni (che volendo andrebbero disabilitate comunque perché inutili). Nelle impostazioni di Ccleaner vai in:
- Opzioni > Avanzate > togli la spunta a Ignora Avviso Controllo Account Utente

Questo rimuove ccleaner dalla pianificazione all'avvio, opzione inutile, serve solo a non far apparire il messaggio di richiesta di Windows quando si lancia Ccleaner.

Altra opzione inutile che è consigliabile levare è quella relativa al monitoraggio:
- Opzioni > Monitoraggio > togli le spunte relative al monitoraggio di sistema (in pratica non lasci nulla di attivo in quella scheda)

[principe Vlad]

Quote:

Originariamente inviato da ulukaii

No, anche perché avvierebbe la versione x64. In ogni caso già dalla 5.34 l'exe è non è più infetto, in più la 5.35 ha un nuovo certificato (la 5.34 era firmata ancora con il vecchio, ora revocato).

Volendo puoi pure cancellare a mano l'exe x32, ma prima occorre disabilitare un paio di impostazioni (che volendo andrebbero disabilitate comunque perché inutili). Nelle impostazioni di Ccleaner vai in:
- Opzioni > Avanzate > togli la spunta a Ignora Avviso Controllo Account Utente

Questo rimuove ccleaner dalla pianificazione all'avvio, opzione inutile, serve solo a non far apparire il messaggio di richiesta di Windows quando si lancia Ccleaner.

Altra opzione inutile che è consigliabile levare è quella relativa al monitoraggio:
- Opzioni > Monitoraggio > togli le spunte relative al monitoraggio di sistema (in pratica non lasci nulla di attivo in quella scheda)

Fatto, grazie mille, stai davvero aiutando molti utenti che come me usano CCleaner da una vita, adesso mi sento davvero tranquillo. Grazie.

[homero]

Dovrebbero fare un ccleaner per pulire ccleaner

Comunque io ho verificato che tutti i computer Windows sono vulnerabili irrimediabilmente e non c'è ccleaner o antivirus che tenga anzi... soluzioni attualmente non ne trovo se non quella di inibire il traffico internet d'altronde se perfino navigando su hwupgrade esce la pubblicità "sapevi che fossero gay?" È il colmo così come altra immondizia che viene dappertutto su internet.

[fraussantin]

Quote:

Originariamente inviato da homero

Dovrebbero fare un ccleaner per pulire ccleaner

Comunque io ho verificato che tutti i computer Windows sono vulnerabili irrimediabilmente e non c'è ccleaner o antivirus che tenga anzi... soluzioni attualmente non ne trovo se non quella di inibire il traffico internet d'altronde se perfino navigando su hwupgrade esce la pubblicità "sapevi che fossero gay?" È il colmo così come altra immondizia che viene dappertutto su internet.

Se hai voglia di trollare, niente da ridire. . Per il resto, l'os sicuro non esiste. Non lo è windows, non lo è linux, e meno che mai i sistemi della mela morsicata.

Il sistema piú sicuro (online)è quello sotto una nat che controlla tutto cio' che passa e dove all'utente non è permesso ne installare niente ne inserire periferiche usb.

Ma ovviamente non lo è al 100%.

[homero]

Io ho parlato di Windows perché è il più ricco os di programmi ccleaner repair antivirus che non risolvono il problema . Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente e questo l'ho natato soprattutto in sistemi economici con mcafee installato in versione prova, ccleaner è solo l'ennesimo caso, il problema di Windows non è che è l'os più vulnerabile cosa che è comprensibile data la sua diffusione ma è l'os meno riparabile di tutti ossia una volta infettato è la fine. Alle volte neppure il ripristino risolve la situazione. Il problema rispetto ad altri os è proprio questo. Ossia che in Windows proprio per come è strutturato come sistema non si riesce a sistemare da qui la necessità di blindare tutto rendendo il sistema poco utilizzabile. Mi spiace sentire parlare di troll ma questa è la realtà dei fatti ad oggi sistemi Linux e Apple sono stati sempre riparabili al 100% e senza l'ausilio di software da terze parti con Windows questo non è stato possibile e l'assistenza non è stata di aiuto. È di certo software come ccleaner non aiutano. Se poi volete scontrarvi con l'evidenza.

[fraussantin]

Quote:

Originariamente inviato da homero

Io ho parlato di Windows perché è il più ricco os di programmi ccleaner repair antivirus che non risolvono il problema . Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente e questo l'ho natato soprattutto in sistemi economici con mcafee installato in versione prova, ccleaner è solo l'ennesimo caso, il problema di Windows non è che è l'os più vulnerabile cosa che è comprensibile data la sua diffusione ma è l'os meno riparabile di tutti ossia una volta infettato è la fine. Alle volte neppure il ripristino risolve la situazione. Il problema rispetto ad altri os è proprio questo. Ossia che in Windows proprio per come è strutturato come sistema non si riesce a sistemare da qui la necessità di blindare tutto rendendo il sistema poco utilizzabile. Mi spiace sentire parlare di troll ma questa è la realtà dei fatti ad oggi sistemi Linux e Apple sono stati sempre riparabili al 100% e senza l'ausilio di software da terze parti con Windows questo non è stato possibile e l'assistenza non è stata di aiuto. È di certo software come ccleaner non aiutano. Se poi volete scontrarvi con l'evidenza.

Quelle poche volte che ho preso un malwere ho sempre risolto ricaricando il punto precedente e poi cancellando chiavi di registro e exe incriminati. Ma non sempre è cosí facile. Certo alle brutte una formattazione quasi sempre risolve.

Se con linux intendi anche android ( è sempre linux vero?) ecco questo è un classico esempio dove le infezioni da malwere non possono essere riparate.

Ottengono accesso da root e si insediano nel sistema, spesso impedendo anche ota successivi.

L'unico sistema è riflashare la factory. Ma non si può fare in quasi nessun telefono senza perdere la garanzia.

Chiusa parentesi, il succo è questo :

Un sistema è piú vunerabile, in proporzione da quanto è APPETIBILE.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da homero

Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente

In ormai oltre vent'anni che navigo su internet con Windows non ho mai avuto infezioni irrimediabili né rimediabili.

In ogni caso son sempre vent'anni che esistono strumenti per il ripristino del sistema allo stato preinfezione (backup immagini dischi e partizioni), così come esistono sistemi di virtualizzazione (sandboxie) che pongono efficacemente al riparo. È proprio l'idea di dover riparare che al giorno d'oggi è un inutile perditempo, IMHO.


Ma ripeto, siccome non sono superman e siccome non sono neanache eccessivamente fortunato, il fatto che in più di vent'anni di web non mi sono mai trovato il sistema infetto a causa di semplice navigazione, mi portano a pensare che il problema come al solito stia nella sedia.

[fraussantin]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

In ormai oltre vent'anni che navigo su internet con Windows non ho mai avuto infezioni irrimediabili né rimediabili.

In ogni caso son sempre vent'anni che esistono strumenti per il ripristino del sistema allo stato preinfezione (backup immagini dischi e partizioni), così come esistono sistemi di virtualizzazione (sandboxie) che pongono efficacemente al riparo. È proprio l'idea di dover riparare che al giorno d'oggi è un inutile perditempo, IMHO.


Ma ripeto, siccome non sono superman e siccome non sono neanache eccessivamente fortunato, il fatto che in più di vent'anni di web non mi sono mai trovato il sistema infetto a causa di semplice navigazione, mi portano a pensare che il problema come al solito stia nella sedia.

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

[rockrider81]

Io avendo un PC aziendale bloccato (anche se non ho problemi a sbloccarlo) uso CCL portable ma periodicamente faccio un controllino con Malwarebytes regolarmente installato .
Spero che almeno quest'ultimi della Malwarebytes abbiamo implementato un controllo ed una azione mirata a questo problema.

[metrino]

Quote:

Originariamente inviato da fraussantin

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

D'accordo su tutto quello che hai detto finora, ma mi sei caduto sugli aggiornamenti. Fino a un mese fa avevo linux a casa(tornato a windows sotto torture e minacce). Gli aggiornamenti dei vari applicativi sono molto frequenti , anche più di uno a settimana, e quelli del kernel pure. In particolare quando si scopre una falla, viene chiusa in pochi giorni e l'aggiornamento viene rilasciato appena completati i test.
MS ha la brutta abitudine di non tappare tutte le falle note di windows, anche per anni.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da fraussantin

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

Si parlava di semplice navigazione ricordo, non di attacchi mirati con varie tecniche. Se qualcuno mi desse un link o una serie di link con cui la semplice navigazione vuol dire infettare il sistema operativo sarei ben grato. (anche in privato se lo si ritiene più opportuno)

Ma temo resteranno bit sprecati, sono vent'anni che faccio questa domanda che o è rimasta inevasa, oppure ha prodotto link che non mi hanno mai lontanamente nuociuto. Nel migliore dei casi si trattava di pagine web che invitavano a scaricare malware, col ciuffolo che scarico ed anche quando si scarica poi c'è l'esecuzione che al giorno d'oggi non è automatica normalmente...

Giusto per dire, all'epoca dei primi rootkit, primi anni 2000, una vulnerabiità di Java faceva in modo che visitando alcune pagine web venisse proposto il download di www.google.com che altro non era che un file eseguibile che installava un rootkit, ma appunto Firefox o Mozilla suite segnalavano la richiesta del download, bastava negare cliccando su annulla e tutto finiva lì. Il fatto è che la gente leggendo google.com cliccava su OK in automatico, e si ritorna alla storia del coso che occupa la sedia col cervello poco attivo ...

[principe Vlad]

Mi rifaccio a quanto è stato detto nei post precedenti, anch'io ormai sono 20 anni che navigo.
Ho sempre usato Windows nelle varie versioni, ho sempre usato software antivirus e da molti anni ormai ho l'abitudine di creare delle immagini del disco di sistema (uso acronis).
Da tempo uso Comodo internet security, attualmente uso la premium 10, vedo che molto del materiale in particolare software ovviamente in forma del tutto legale spesso mi finisce nel containment di comodo, credo sia un modo per garantire al meglio la sicurezza.
CCleaner lo uso ormai da una vita anche questo e mi trovo bene, certo è che non mi sarei mai aspettato che un software come questo venisse violato, nel dubbio, non ricordo che versione avevo prima o durante il fattaccio (non aggiorno sempre ccleaner) ho cercato quelle famose stringhe nel registro di Windows e visto che pare non essere infetto ho lasciato tutto così.
Se fosse stato infetto avrei tranquillamente pulito l'SSD con secure erase e poi caricato l'immagine del disco di sistema risolvendo comunque il problema, tempo per ripristinare il tutto circa 10/15 minuti.
Certo che se uno non viene informato di un avvenuto attacco risulta difficile stabilire come si deve agire.

[GmG]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Si parlava di semplice navigazione ricordo, non di attacchi mirati con varie tecniche. Se qualcuno mi desse un link o una serie di link con cui la semplice navigazione vuol dire infettare il sistema operativo sarei ben grato. (anche in privato se lo si ritiene più opportuno)

Ma temo resteranno bit sprecati, sono vent'anni che faccio questa domanda che o è rimasta inevasa, oppure ha prodotto link che non mi hanno mai lontanamente nuociuto. Nel migliore dei casi si trattava di pagine web che invitavano a scaricare malware, col ciuffolo che scarico ed anche quando si scarica poi c'è l'esecuzione che al giorno d'oggi non è automatica normalmente...

Gli 0 day non sono comuni e la maggior parte degli exploit pack usa exploit di vulnerabilità già risolte (il problema sta a vedere se tutte le applicazioni sono aggiornate)
E di siti legittimi violati che reindirizzano a uno di questi exploit pack ne è pieno il web

Anni fa pure i banner di questo sito.
Ci sono stati siti di ambasciate, siti religiosi, di celebrità della musica, siti di comuni ed altro.
Sempre ritornando al passato il sito di asus era stato violato con uno 0 day

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Giusto per dire, all'epoca dei primi rootkit, primi anni 2000, una vulnerabiità di Java faceva in modo che visitando alcune pagine web venisse proposto il download di www.google.com che altro non era che un file eseguibile che installava un rootkit, ma appunto Firefox o Mozilla suite segnalavano la richiesta del download, bastava negare cliccando su annulla e tutto finiva lì. Il fatto è che la gente leggendo google.com cliccava su OK in automatico, e si ritorna alla storia del coso che occupa la sedia col cervello poco attivo ...

Stai parlando di LinkOptimizer e visualizzava la richiesta di download solo se i vari exploit non funzionavano causa sistema aggiornato (la pagina conteneva 20-30 exploit diversi)

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da GmG

Gli 0 day non sono comuni e la maggior parte degli exploit pack usa exploit di vulnerabilità già risolte (il problema sta a vedere se tutte le applicazioni sono aggiornate)
E di siti legittimi violati che reindirizzano a uno di questi exploit pack ne è pieno il web

Certamente, infatti si dice sempre che se si vuol stare moderatamente tranquilli sul web, è condizione imprescindibile tenere il sistema operativo + i programmi che vi hanno in qualche modo attinenza, aggiornati. Se poi si fa una scrematura riuscendo a mettere da parte quelli che sono, per la loro diffusione o per le loro debolezze intrinseche, più presi di mira, è ancora meglio. In soldoni, chi come me non ha mai usato internet Explorer è stato sicuramente meno bersagliato.

Quote:

Stai parlando di LinkOptimizer e visualizzava la richiesta di download solo se i vari exploit non funzionavano causa sistema aggiornato (la pagina conteneva 20-30 exploit diversi)

Anche conosciuto come Gromozon e in tanti altri modi visto che veniva modificato continuamente nella continua lotta con gli antivirus che via via aggiornavano le definizioni. Ora che ci penso, a proposito di antivirus, ricordo che per un pezzetto di tempo, sempre negli anni attorno al 2005 Avira mi trovò qualche volta, un eseguibile nella cache di Firefox, probabilmente vi veniva scaricato sfruttando qualche bug del browser ma da quello che vidi, non andò mai in esecuzione.

[ulukaii]

Nuovo articolo pubblicato sul blog di Avast: Additional information regarding the recent CCleaner APT security incident

Raccoglie ulteriori informazioni riguardo l'attacco, le compagnie bersaglio, le macchine coinvolte, ipotesi sull'origine e elenco di tutti gli IoC (Indicators of Compromise) quindi files, eseguibili, dll (con rispettivi hashes) che possono indicare se il sistema sia o meno stato compromesso dall'attacco e fino a che livello (nulla, fase 1, fase 2).

Quote:

The following is an updated list of IOCs.

Files
1st stage
04bed8e35483d50a25ad8cf203e6f157e0f2fe39a762f5fbacd672a3495d6a11 - CCleaner - installer (v5.33.0.6162)
0564718b3778d91efd7a9972e11852e29f88103a10cb8862c285b924bc412013 - CCleaner - installer (v5.33.0.6162)
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff - CCleaner - installer (v5.33.0.6162)
276936c38bd8ae2f26aab14abff115ea04f33f262a04609d77b0874965ef7012 - CCleaner - installer (v5.33.0.6162)
2fe8cfeeb601f779209925f83c6248fb4f3bfb3113ac43a3b2633ec9494dcee0 - CCleaner - installer (v5.33.0.6162)
3c0bc541ec149e29afb24720abc4916906f6a0fa89a83f5cb23aed8f7f1146c3 - CCleaner - installer (v5.33.0.6162)
4f8f49e4fc71142036f5788219595308266f06a6a737ac942048b15d8880364a - CCleaner - installer (v5.33.0.6162)
7bc0eaf33627b1a9e4ff9f6dd1fa9ca655a98363b69441efd3d4ed503317804d - CCleaner - installer (v5.33.0.6162)
a013538e96cd5d71dd5642d7fdce053bb63d3134962e2305f47ce4932a0e54af - CCleaner - installer (v5.33.0.6162)
bd1c9d48c3d8a199a33d0b11795ff7346edf9d0305a666caa5323d7f43bdcfe9 - CCleaner - installer (v5.33.0.6162)
c92acb88d618c55e865ab29caafb991e0a131a676773ef2da71dc03cc6b8953e - CCleaner - installer (v5.33.0.6162)
e338c420d9edc219b45a81fe0ccf077ef8d62a4ba8330a327c183e4069954ce1 - CCleaner - installer (v5.33.0.6162)
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 - CCleaner.exe (32-bit v5.33.0.6162)
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 - CCleaner.exe (32-bit v5.33.0.6162)
a3e619cd619ab8e557c7d1c18fc7ea56ec3dfd13889e3a9919345b78336efdb2 - CCleanerCloud - installer (32-bit v1.7.0.3191)
0d4f12f4790d2dfef2d6f3b3be74062aad3214cb619071306e98a813a334d7b8 - CCleanerCloudAgent.exe (32-bit v1.7.0.3191)
9c205ec7da1ff84d5aa0a96a0a77b092239c2bb94bcb05db41680a9a718a01eb - CCleanerCloudAgentHealtCheck.exe (32-bit v1.7.0.3191)
bea487b2b0370189677850a9d3f41ba308d0dbd2504ced1e8957308c43ae4913 - CCleanerCloudTray.exe (32-bit v1.7.0.3191)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 1st stage payload DLL found in CCleaner
19865df98aba6838dcc192fbb85e5e0d705ade04a371f2ac4853460456a02ee3 - 1st stage payload DLL found in CCleanerCloud

2nd stage
7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538 - loader of the 2nd stage payload (32-bit)
a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15 - loader of the 2nd stage payload (64-bit)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 2nd stage payload DLL (GeeSetup_x86.dll)
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 32-bit DLL dropped from the 2nd stage payload
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 64-bit DLL dropped from the 2nd stage payload
A6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5 - inner DLL of the 2nd stage payload (32-bit)
B3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e - inner DLL of the 2nd stage payload (64-bit)

Windows Registry
HKLM\SOFTWARE\Piriform\Agomo\MUID - used by the 1st stage payload
HKLM\SOFTWARE\Piriform\Agomo\NID - used by the 1st stage payload
HKLM\SOFTWARE\Piriform\Agomo\TCID - used by the 1st stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\002 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\003 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\004 - used by the 2nd stage payload

Questa è stata l'entità dell'attacco in base alle analisi:

Quote:

The main findings from the complete database are as follows:
- The total number of connections to the CnC server was 5,686,677.
- The total number of unique PCs (unique MAC addresses) that communicated with the CnC server was 1,646,536.
- The total number of unique PCs that received the 2nd stage payload was 40.

Nella tabella seguente elencano le 40 macchine infette dalla fase 2, suddivise per dominio/compagnia. Si nota che era un attacco con target specifici, quindi le ipotesi avanzate da alcuni sul fatto che potesse essere una continuazione dell'Operazione Aurora trovano conferma. C'è anche un'ulteriore tabella di domini/compagnie di potenziale interesse, ma che risulta non siano state infettate.

[s-y]

mica male

non è così irrealistico considerare il tutto nel clima di 'guerra informatica' in corso da un pò, non bastassero le ipotesi di quelle vere.
tra l'altro in questo caso si diventa 'soldati' senza volerlo, come androidi programmabili

e ancora con l'iot che non ha preso piede...

[Stefanoks]

Il fatto che su altre macchine x64 non ci siano tracce della key Agomo, tradotto in italiano per chi non mastica informatica come me, significa che non c'è traccia del malware? Chiedo venia per l'ignoranza.

[ulukaii]

Quote:

Originariamente inviato da Stefanoks

Il fatto che su altre macchine x64 non ci siano tracce della key Agomo, tradotto in italiano per chi non mastica informatica come me, significa che non c'è traccia del malware? Chiedo venia per l'ignoranza.

Se non hai la key Agomo vuol dire che non hai mai raggiunto nemmeno la prima fase e anche nella remota ipotesi che quella chiave ci fosse, non implica automaticamente che si sia innescata la seconda (payload) o che il sistema sia stato infettato. Il malware in sé era nell'exe di Ccleaner che creava una backdoor nel sistema, recuperando informazioni in modo da poter portare degli attacchi mirati.