image

Backdoor in CCleaner installeerde aanvullende malware

donderdag 21 september 2017, 09:44 door Redactie, 21 reacties

De backdoor die in de populaire tool CCleaner werd verborgen is toch gebruikt om systemen met aanvullende malware te infecteren, zo laat Cisco in een nieuwe analyse weten. Aanvallers wisten in juli Piriform te hacken, de ontwikkelaar van CCleaner, en konden zo de backdoor toevoegen.

Een maand lang werd deze besmette versie via de officiele downloadservers aangeboden voordat de backdoor werd ontdekt. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd.

Na de ontdekking stelden Piriform en Avast, het anti-virusbedrijf dat CCleaner in juli overnam, dat de server van de aanvallers geen code naar de backdoor had gestuurd. Er zou dan ook geen aanvullende malware op systemen zijn geïnstalleerd en slachtoffers hoefden volgens beide bedrijven hun systeem niet opnieuw te installeren, zoals sommige securitybedrijven en experts adviseerden.

Op de server waar de backdoor mee communiceerde zijn echter bestanden gevonden waaruit blijkt dat dit niet het geval is. De server heeft naar zeker twintig slachtoffers aanvullende malware gestuurd. Het gaat om een andere backdoor die toegang tot het systeem geeft. De aanvallers hadden het vooral voorzien op techbedrijven, zoals HTC, Samsung, Sony, VMWare, Intel, Microsoft, Linksys, MSI, Epson, D-Link, Akamai, Google en Cisco zelf, zo blijkt uit een lijst met domeinen waar de aanvallers naar zochten. Volgens Cisco suggereert dit dat de aanvallers het op intellectueel eigendom hadden voorzien.

Welke bedrijven of organisaties door de aanvullende malware zijn getroffen laat Cisco niet weten. Wel wijst het bedrijf naar een opmerking van anti-virusbedrijf Kaspersky Lab dat de gebruikte backdoorcode overlap heeft met een groep aanvallers die Group 72, Aurora of Axiom wordt genoemd. De aanvallers hebben het vooral op organisaties in de VS, Japan, Taiwan en Zuid-Korea voorzien. Cisco herhaalt dan ook het advies dat alle getroffen gebruikers van CCleaner hun systeem opnieuw moeten installeren of naar een staat van voor 15 augustus moeten herstellen.

Image

Reacties (21)
21-09-2017, 10:02 door Anoniem
Die drie lege regels zijn intrigerend. Wat stond daar?

Chinese time zone PRC, APT17/Group 72.
21-09-2017, 10:25 door Anoniem
Dit is echt de druppel!
Uit voorzorg paar dagen terug CCleaner geheel verwijderd van 2 Apple computers.
De 'software' komt er ook niet meer op.
21-09-2017, 11:00 door Anoniem
En weer opnieuw Windows installeren omdat een of andere software producent er een terungzooi van gemaakt heeft.
Zelfs als je de tijd kunt vinden om vele computers te installeren, kun je ook weer verschillende eenmalige licenties gaan afnemen.
Krijg de tering maar MicroSoft met iedere keer je ellende om de Amerikaanse economie op deze manier een boost te geven.
21-09-2017, 11:17 door Anoniem
Maar je denkt toch niet dat dit een op zichzelf staand incident is.
Ik vertrouw veel van die non-public server parken en racks in "Murica" niet meer.
Net als die server in Santa Clarita L.A.

Te veel opzettelijk stil gehouden onbekende kwetsbaarheden, te veel onveilige configuraties of ontbreken van "best practices", te veel "sloppiness" en incompetentie tot regelrechte onkunde op de werkvloer, zodat de hele zooi "borked" blijkt te zijn en een ingewijde slechterik de boel makkelijk kan "pn3w3n".

Omdat de echte grote spelers voor een dubbeltje op de eerste rang willen zitten, is de eindgebruiker grandioos de pineut of de sjaak, zoals men tegenwoordig pleegt te zeggen.

Api-hackers als de Axion Group zijn alleen maar een symptoom van de onderliggende ellende.

Wanneer gaat iemand die "Jan-Keesies" daar eens uitleggen,waar ze mee bezig zijn geweest vanaf het laten ontsnappen van software die nog niet klaar was voor Internet tot en met het met opzet "holen" van van alles en nog wat ten behoeve van de glorie van hun eigen Surveillance State?
21-09-2017, 11:33 door Anoniem
Eerst was het zo dat als CCleaner geüpdatet was er niks aan de hand was. Toch ff Malwarebytes gedraaid en jawel malware aangetroffen. Nu toch advies voor schone installatie. Heb wel wat beters te doen.
21-09-2017, 11:39 door Anoniem
Door Anoniem: Dit is echt de druppel!
Uit voorzorg paar dagen terug CCleaner geheel verwijderd van 2 Apple computers.
De 'software' komt er ook niet meer op.
Ik denk verstandig, maar waarom dit soort programma´s op een Apple, ik lees vaak dat dit zeker bij IOS meer kwaad dan goed doet.
Ik vraag mij trouwens ook de toegevoegde waarde op Windows 10 af.
21-09-2017, 11:42 door Anoniem
Door Anoniem: En weer opnieuw Windows installeren omdat een of andere software producent er een terungzooi van gemaakt heeft.
Zelfs als je de tijd kunt vinden om vele computers te installeren, kun je ook weer verschillende eenmalige licenties gaan afnemen.
Krijg de tering maar MicroSoft met iedere keer je ellende om de Amerikaanse economie op deze manier een boost te geven.
Een Linux fanaat met oogkleppen op blijkbaar.
Je hoeft Windows niet opnieuw te installeren, herstelpunt kun je zo inschakelen.
Ik zou niet weten waarmee de je de Amerikaanse economie een boost geeft door in het slechtste geval een herinstallatie.
21-09-2017, 11:50 door Anoniem
Door Anoniem: Eerst was het zo dat als CCleaner geüpdatet was er niks aan de hand was. Toch ff Malwarebytes gedraaid en jawel malware aangetroffen. Nu toch advies voor schone installatie. Heb wel wat beters te doen.

En wat als malwarebytes nou gecompromised was/zou zijn? :)
Kan net zo goed gebeuren.
21-09-2017, 12:46 door Anoniem
De bottomline van het hele verhaal. Wat kan je eigenlijk nog ten volle vertrouwen online.
Alleen toch die code die je zelf hebt ingeklopt?!?

We staan er alleen niet voortdurend bij stil, dat het zo is en zo blijft...
21-09-2017, 13:10 door bollie
Tja...nu kun je zelfs de "vertrouwde"" kanalen niet meer vertrouwen.....dan maar deze kanalen zoveel mogelijk beperken!!

Heb alle computers zekerheidshalve geheel opnieuw geinstalleerd en CCleaner gedumpt. Ik houd nu verder alle gebruikte software tegen het licht of ik het wel écht nodig heb....Dit naast alle security-awareness die er al was....Treurige ontwikkelingen zijn dit....
21-09-2017, 13:39 door Anoniem
Ik gebruik ccleaner helemaal niet. Nog nooit ergens last van gehad.
21-09-2017, 14:04 door karma4 - Bijgewerkt: 21-09-2017, 14:12
Door Anoniem:
Door Anoniem: En weer opnieuw Windows installeren omdat een of andere software producent er een terungzooi van gemaakt heeft.
Zelfs als je de tijd kunt vinden om vele computers te installeren, kun je ook weer verschillende eenmalige licenties gaan afnemen.
Krijg de tering maar MicroSoft met iedere keer je ellende om de Amerikaanse economie op deze manier een boost te geven.
Een Linux fanaat met oogkleppen op blijkbaar.
Je hoeft Windows niet opnieuw te installeren, herstelpunt kun je zo inschakelen.
Ik zou niet weten waarmee de je de Amerikaanse economie een boost geeft door in het slechtste geval een herinstallatie.
De boosdoener is Avast die heeft niets met microsoft van doen anders dan het meeliften in een verdienmodel. Zo kun je ook de zware pietbij elke ander figuur leggen die je niet aardig vind.
Avast is Tsjechisch en piriform Brits, allemaal europees In dit specifieke geval geen VS of andere grootmacht belangen als eerste optie
21-09-2017, 14:34 door Anoniem
@karma4,

Zit niet helemaal zo, avast zit naast hun hoofdkantoor in Praag al jaren met een vestiging in San Francisco. Ze begonnen aan hun VS avontuur via een overstap vanuit een Amsterdams kantoortje.

Hun' major userbase' zit in de States en ze hebben een monopolie positie in Brazilië, waar ze extra kwetsbaar zijn vanwege de mono-cultuur aldaar. Vanwege hun vestiging in de V.S. doen ze ook mee aan o.a. de Iran boycot en krijg je daar moeilijk updates. De Chinese markt laat hen niet toe omdat daar alleen Chinese interesse wordt toegelaten.

De hacker van het Britse piriform staan bekend als de zeer geavanceerde Axiom groep 72 en hebben een Aziatische achtergrond (tenminste dat is het verhaal). Ze hadden het ook op ons land gemunt via de C&C server. Namelijk o.a. Samsung-Breda stond op het lijstje.

Niet commerciële gebruikers hebben hiervan niet zo veel te duchten, bij commerciële partijen zou ik weer van scratch opstarten, terwijl we niet weten wat er in twee maanden aan data breach is geweest. "Niemand heeft de stofzuiger echt afgezet, maar wel later geleegd".

Om de bal helemaal bij avast te leggen is wel een beetje wrang, terwijl de hack al gaande was voor de overname en het inlijven van de developer van CCleaner. Maar met al de databreaches in de laatste tijd verbaast me eigenlijk niets meer echt. We konden hier gewoon met zijn allen op wachten, toch? Komt de onderste steen boven drijven? Dat denk ik eigenlijk ook niet. Te veel "cloak and dagger" binnen het hele verhaal.
21-09-2017, 14:49 door swake
Een nadenkertje

Iets wat jezelf doet , doe je altijd beter !!!
21-09-2017, 14:59 door Anoniem
Volgens de "Virus Radar" van Eset is Nederland flink getroffen. 33% van alle hits komt uit Nederland. Het kan ook iets anders betekenen. Namelijk dat ESET NOD32 goed verkocht wordt in NL ;-) http://www.virusradar.com/en/Win32_CCleaner/map
21-09-2017, 16:19 door Anoniem
Door Anoniem: Dit is echt de druppel! De 'software' komt er ook niet meer op.
Een logische keuze als je deze fabrikant niet verder wil belonen. Maar of je er werkelijk veiliger van gaat worden tegen backdoors?
21-09-2017, 18:47 door Anoniem
Nog een leuke overpeinzing: https://www.welivesecurity.com/2017/09/21/cconsiderations-on-ccleaner-incident/

Was dit een algemeen probleem met de prijs die je nu eenmaal betaalt voor gratis software of meer een gerichte bedreiging vanuit de overheidshacker hoek of een mix van beide?
21-09-2017, 20:43 door Anoniem
Door Anoniem: Eerst was het zo dat als CCleaner geüpdatet was er niks aan de hand was. Toch ff Malwarebytes gedraaid en jawel malware aangetroffen. Nu toch advies voor schone installatie. Heb wel wat beters te doen.

Als je niet vooraf ook een scan gedaan hebt kan die malware van van alles zijn gekomen, dus niet per se van Crap Cleaner. Ja er zat een backdoor in, maar die was dus alleen actief als je het installeerde op 1 van de domeinen die hier genoemd werden.
21-09-2017, 20:44 door Anoniem
Het theater is zeer geavanceerd, lees als het je interesseert: https://www.blackhat.com/eu-17/briefings/schedule/#how-to-hack-a-turned-off-computer-or-running-unsigned-code-in-intel-management-engine-8668
21-09-2017, 23:28 door Anoniem
Wat ik overigens vreemd vind, men zegt dat de 64bits versie niet geinfecteerd was.
Ik draaide deze versie en in de installer zat wel degelijk de backdoor verstopt.
Dus volgens mij werd de backdoor gewoon meegestuurd met allebei de versies (32 en 64 bits)

Echter de reg-keys die de infectie zouden aangeven die had ik niet...maar of dat nou wat zegt....

Dus dat wordt een re-install...
22-09-2017, 08:34 door Anoniem
Avast is Tsjechisch en piriform Brits

Ik dacht dat Avast, CCleaner opgekocht had?

Avast 'leuke' free virusscanner maar wat met die ashwooka.dll die toetsaanslagen zou registreren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.