潜伏六个月: 黑客如何通过CCleaner感染230万台电脑
去年下半年时知名的系统清理工具 Piriform CCleaner 被发现携带后门程序并悄悄潜伏在多达230 万电脑上。
如此大规模感染让去年五月爆发的永恒之蓝漏洞也相形见绌,那么攻击者到底是如何感染这么多台电脑的呢?
本周捷克安全软件 AVAST 首席技术官在安全会议上透露攻击细节: 黑客在其内部网络已经潜伏超过六个月。
CCleaner 攻击时间线:
2017年3月12日:攻击者使用泄露的数据碰撞找到开发者的远程软件账户并在连接其电脑后安装了恶意软件。
2017年3月12日:攻击者渗透到周边的无人值守计算机,并通过远程桌面服务协议连接并控制了这台计算机。
2017年3月12日:攻击者在目标计算机中的注册表里新建二进制文件和恶意软件,该恶意软件感染40名用户。
蓝点网注:这 40 名用户是被攻击者用来测试的,最终这场大规模的攻击事件实际受影响的就是这40名用户。
2017年3月14日:攻击者感染含有恶意软件旧版本的计算机, 这台计算机属于上面被挑选进行测试的计算机。
2017年4月4日:攻击者利用ShadowPad漏洞定制恶意软件, 该漏洞允许攻击者下载更多模块和窃取数据等。
2017年4月12日:攻击者在Piriform 公司的内部网络以及构建服务器上感染了四台计算机并上传了恶意软件。
此后这段时间里攻击者在准备含有后门程序的CCleaner, 并试图在被感染的计算机上安装键盘记录器等工具。
2017年7月18日:捷克安全软件厂商AVAST宣布收购位于英国的Piriform公司, 该公司用户总量高达数亿名。
2017年8月2日:攻击者修改Piriform产品主页并替换含有后门程序的CCleaner,此后大规模感染才算开始。
2017年9月13日:思科旗下安全实验室的研究人员发现其携带后门, 然后研究人员立即将其通报给Piriform。
此后AVAST在FBI的帮助下迅速关闭了攻击者的远程控制服务器,但此时被感染的电脑总量已达到230万台。
攻击者的目标主要是大型科技公司:
虽然感染230 万台电脑但攻击者目标只是那些在大型科技公司的电脑,也就是攻击者是准备窃密而不是破坏。
而被最初选为40台测试用户的电脑涉及包括谷歌、微软、思科、英特尔、三星、索尼、HTC以及VMware等。
攻击者如此大费周章的进行潜伏是希望在神不知鬼不觉的情况下收集机密信息,事实上攻击者的目标达到了。
而其他电脑虽然攻击者依然可以进行控制但调查表明攻击者没有任何操作,直到远程服务器被关闭断开连接。
攻击者只是把CCleaner当做跳板用来完成间谍目的, 不过AVAST并未透露上述公司是否泄漏了机密的数据。