CCleaner : Un Code malveillant découvert (Trojan.floxif)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 18 sept. 2017 19:11

A_Piriform.png
A_Piriform.png (4.11 Kio) Consulté 3621 fois

Ce qu'il faut retenir et qui n'est pas toujours mis en avant sur les différents sites de news sur le net :

Cela ne concerne QUE la version 32Bits de CCleaner

Il est dit que cela n'affecte QUE la version gratuite.



LES FAITS :

Sur le site de Piriform, éditeur de CCleaner, il a été proposé entre le 15 aout et le 12 septembre, une version modifiée qui incorporait du code malveillant
La version concernée est la 5.33 de CCleaner (5.33.6162), en 32 bits, ainsi que CCleaner Cloud en version 1.07.3191
https://www.piriform.com/news/blog/201 ... dows-users

Avast (qui a racheté Piriform en juillet 2017) explique avoir repéré l’infection avant les équipes de Talos
( https://www.cisco.com/c/m/fr_fr/produc ... index.html ) mais a déclaré avoir refusé de rendre l’attaque publique immédiatement du fait d’une enquête en cours avec les autorités américaines

Néanmoins c'est seulement après le 12 septembre qu'une version saine a été mise en place sur le site de Piriform sans explications (le changelog ne dit rien) :
________________________
v5.34.6207 (12 Sep 2017)

Browser Cleaning
- Firefox: Internet History cleaning rule no longer removes Favicon content

General
- Minor GUI improvements
- Minor bug fixes
________________________

Voir les explications dans le forum AVAST : https://forum.avast.com/index.php?topic=208612.45

Le changelog de la version 5.35.6210 sortie le 20/09 et faisant état d'un changement de certificat, est "légérement" plus parlant
http://www.piriform.com/news/release-an ... eaner-v535

"CCleaner v5.35

The Piriform team would like to announce the latest release of CCleaner for Windows.
CCleaner version 5.35 has been released with a new digital signature to update our systems after the September 18th security notification.
We encourage all users to update to this new version.



DECOUVERTE ET FONCTIONNEMENT

La découverte s'est faite par hasard vers le 12 septembre.
C'est TALOS (Cisco) qui testant un nouveau système de détection, qui repère un comportement malveillant provenant de l’installateur de CCleaner.
En inspectant le processus, les chercheurs se sont aperçus que l’installateur ne se contentait pas d’installer CCleaner, mais profitait également de l’installation pour déployer un malware sur la machine de la cible.

L'activation demandait plusieurs conditions, les principales :

- Il lui fallait 601 secondes pour procéder à son installation
Il enregistrait l'heure système sur la machine infectée et la retardait alors pendant 601 secondes avant de continuer ses opérations, probablement une tentative d'échapper à des systèmes d'analyse automatisés qui sont configurés pour exécuter des échantillons pour une période de temps prédéfinie ou déterminer si le malware est exécuté dans un débogueur.
Si cette condition (dépassement) n'est pas remplie, le malware met fin à l'exécution alors que le binaire CCleaner continue les opérations normales.

_ Il cherchait à savoir si l’utilisateur de la machine était administrateur et s’il parvenait à contacter son serveur de Command&control via une liste de noms de domaines générés automatiquement.
Le malware collectait également les profils des machines infectées et les transmettait au serveur de command&control, qui pouvait en retour lui envoyer des instructions supplémentaires à exécuter.
A_Run admin.png

Les versions modifiées collectaient certains renseignements comme :

- Nom de l’ordinateur ;
- Liste des logiciels installés, dont les mises à jour Windows ;
- Liste des processus actifs ;
- Les adresses Mac des trois premières cartes réseau ;
- Des éléments complémentaires (quels processus bénéficient des privilèges Administrateur, s’agit-il d’un système 64 bits, …).


Le gros problème, c'est que celui qui a inséré ce code avait accès à la machine de développement ET au niveau de la chaîne d'approvisionnement lors de la compilation : Les versions compromises de CCleaner ont ainsi été signées avec un certificat de l’éditeur et disponible sur le site éditeur

On peut noter qu'il y a une forte ressemblance avec la propagation du malware NotPetya.
C'est en effet à travers une sté Ukrainienne (Intellect Service) qui produit un logiciel de comptabilité et de fiscalité M.E.Doc, très utilisé, mais compromis que Notepeya s'est diffusé


QUI EST TOUCHE ?

2,27 millions d'utilisateurs utilisaient la version 5.33.6162 du logiciel CCleaner, tandis qu'un peu plus de 5000 utilisateurs avaient recours à la version v1.07.3191 de CCleaner Cloud (selon AVAST/Piriform)

Pour rappel, Piriform, revendique 2 milliards de téléchargements dans le monde de Ccleaner (en novembre 2016) et 5 millions de nouveaux utilisateurs chaque semaine

Par la suite, des ordinateurs d'entreprises ont été ciblé pour une deuxième phase de l'attaque, se reporter à l'EDIT plus bas.


LES SOLUTIONS PROPOSEES


Piriform demande à tous les utilisateurs de CCleaner 5.33 en 32 bits de mettre à jour à la version 5.34 du logiciel (disponible depuis le 12 septembre).
Pour CCleaner Cloud, la mise à jour est automatique.

Avast conseille :


!
Nous recommandons donc de mettre à jour CCleaner vers la dernière version (maintenant 5.35, après que nous ayons révoqué le certificat de signature utilisé pour signer la version impactée 5.33) et d'utiliser un produit antivirus de qualité, comme Avast Antivirus.

Dans Forbes https://www.forbes.com/sites/thomasbrew ... 23f7f5316a
Le CTO d’Avast, Ondrej Vicek, invite néanmoins les utilisateurs à ne pas trop s’inquiéter. Selon lui, les attaquants n’ont pas eu le temps d’exploiter la seconde phase de l’attaque et de causer de réels dommages aux machines infectées. « De ce que nous en savons, c’était une phase de préparation pour une attaque beaucoup plus massive, mais elle a heureusement été stoppée à temps (dans les faits ce n'est pas tout à fait vrai, voir autres explications plus bas)

Cisco Talos, lui, recommande aux systèmes compromis de procéder à une restauration avant la date du 15 août, voire à une réinstallation (à noter que Talos avait acheté la série de noms de domaine qui n'avaient pas été enregistré par l'auteur du malware et qui s'y trouvaient codés)

D'autres disent qu'il suffit de virer l'executable et de mettre à jour, car le malware est encodé dans le .exe de CCleaner (mais il reste des scories dont dans la base de registre)
Dans l'absolu c'est vrai puisque seulement une vingtaine de machines ciblées ont téléchargé la deuxième version du payload (appartenant à de grands groupes)


Donc le plus simple pour la majorité des particuliers suivre les indications de : https://www.supprimer-virus.com/backdoor-floxif/

Et pour mettre en avant que la solution première du PDG d'Avast pour neutraliser la version malveillante, qui consistait juste à effectuer une mise à jour de CCleaner ce qui enlevait toutes les traces, est une aberration :


Image

Le cheval de Troie Floxif-Nyetya est connu pour se propager par injection de code malveillant dans d'autres fichiers exécutables légitimes (et donc présumés sûrs)
Jusqu'à présent, cette souche particulière du cheval de Troie Floxif / Nyetya est connue pour infecter et injecter un code malveillant dans certains fichiers
Dans le cas présent c'était prévu pour la deuxième charge, après sélection des "candidats" (voir plus bas)


Il est important de souligner

- Qu'il faut être administrateur pour que le malware entre en action (par ex sur Windows 7 home premium )
- Que la version gratuite ne se met pas à jour automatiquement (mise à jour manuelle)
- Que les AV ne détectaient rien jusqu'à présent car le logiciel utilisait un certificat valide

Que si vous avez un doute, vous pouvez jeter un oeil dans la base de registre voir si le terme "Agomo" existe

HKLM\SOFTWARE\Piriform\Agomo:xxx
A_Agomo.png

L'impact est "a priori" négligeable (voir les explications de Talos (ci dessous) et d'Avast (début article) mais après désinfection il vaut mieux changer ses login et mot de passe


Pour en savoir plus avec tous les détails :

http://blog.talosintelligence.com/2017/ ... lware.html

-_________________________________________

Edit :

Je viens de faire un test sur la version Pro en 32Bits, et : https://www.virustotal.com/#/file/c92ac ... /detection

Idem avec la version portable : https://www.virustotal.com/fr/file/e710 ... 505743616/

Donc le 18/09 à 23h15, seuls Clam AV, Emsisoft, Gdata, K7GW, McAFee, WebRoot, Dr Web, ESET Nod32, K7Antivirus, MalwareBytes, McAfee GW Edition détectaient un problème... Le trio de tête, les ténors habituels champions de tous les tests ; Kaspesky, Bitdefender et Avira ne voyaient rien
A leur décharge, AVAST/AVG ne voyaient rien non plus du moins avec Virus total (qui n'utilisent que les moteurs et fichiers de signatures)
Ces derniers détectent en Trojan.Nyetya ou Trojan.Floxif
CCleaner-Backdoor-floxif.PNG
Backdoor Floxif et CCleaner
CCleaner-Backdoor-floxif.PNG (73.15 Kio) Consulté 3073 fois
Donc.. toujours se méfier de ce que raconte virustotal (ce n'est qu'indicatif), et si les AV "installés" ne voient rien non plus (à tester donc) il y a lieu de se poser des questions sur les autres méthodes d'analyse qu'ils proposent
Rien ne dit que d'autres programmes actuels ne soient pas infectés non plus

Du reste c'est peut être là le problème, parce que cette version possède le même certificat de sécurité que la version 32Bits
Après quelques tests, la version Pro en 32Bits ne crée pas de clé de registre, et la version "portable" qui porte bien son nom n'a pas l'installeur qui comporte le malware, mais les AV installés et virustotal mettent toutes les versions dans le même sac :-)

_____________________________________________________

Si vous souhaitez des alternatives à CCleaner : Les alternativse à CCleaner
Certains ont une spécificité que les autres n'ont pas (dont Privazer en version Pro qui s'occupe des shellbags dont se nourissent certains programmes un peu trop curieux ou Wise Disk dans un de ses onglets qui vire proprement les anciens fichiers d'installation de windows

Si vous continuez avec CCleaner, n'oubliez pas de lui adjoindre CCEnhancer https://singularlabs.com/software/ccenhancer/

N'oubliez pas non plus de décocher dans les options :

- Effacer uniquement les fichier temporaires de windows datant de plus de 24heures (quel est l'interet, si on est dans une optique de nettoyage pour la vie privée que cela reste coché ?)
- Supprimer les fichiers de la corbeille seulement si ils y sont depuis plus d'un jour (idem)
- Désactiver la surveillance système (virer des fichiers du cache qui peuvent être utilisés à nouveau ne sert à rien si ce n'est ralentir)
- Nettoyer automatiquement l'ordinateur au démarrage (pour le ralentir ? En plus Windows va recréer des logs dans la foulée)

Dans autoruns vérifier dans l'onglet "Sheduled tasks " si la tache programmée de ccleaner est décochée

Cela évitera un CCleaner en résident, avec une tâche de fond qui ne sert à rien

EDIT 21/09/2017 - Malekal : nouvelle information

Source : https://blog.avast.com/fr/enquete-cclea ... formations
Tout d'abord, l'analyse des données du serveur CnC a prouvé qu'il s'agissait d'une APT (Advanced Persistent Threat) programmée pour que la charge utile de la deuxième étape sélectionne les utilisateurs.

Plus précisément, les journaux du serveur ont indiqué 20 machines pour un total de 8 organisations auxquelles cette charge utile a été envoyée, mais étant donné que ces journaux ont seulement été collectés pendant un peu plus de trois jours, le nombre réel d'ordinateurs ayant reçu cette même charge utile était probablement de l'ordre de plusieurs centaines.
En clair, ils on arrosé pour pouvoir ensuite cibler des ordinateurs spécifiques.

Après avoir saisie les serveurs, il semblerait que l'attaque soit une partie dans des attaques plus vastes menées contre des entreprises du Japon, à Taiwan, au Royaume-Uni, en Allemagne et aux États-Unis.

Le malware utilisé dans la seconde phase de l'attaque est assez sophistiqué :
Sur Windows 7+, le binaire est déversé sur un fichier appelé "C: \ Windows \ system32 \ lTSMSrv.dll" et le chargement automatique de la bibliothèque est assuré par la validation du service NT "SessionEnv" (le service RDP).

Sur XP, le fichier binaire est enregistré sous la forme "C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” et le code utilise le service "Spooler" pour charger.

En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec.

La plupart des codes malveillants sont délivrés à partir du registre (le code binaire est enregistré directement dans le registre des clés “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]”).
EDIT 24/09/2017 - informations Etape 3

De nouvelle informations ont été publiées par les études des serveurs.
Parisien_entraide a donné ces dernières informations plus bas dans ce topic : viewtopic.php?f=11&p=440523#p440442
Dernière édition par Parisien_entraide le 23 sept. 2017 10:27, édité 24 fois.


Jean236
newbie
newbie
Messages : 5
Inscription : 20 août 2017 15:52

Re: CCleaner : Un Code malveillant découvert

Message par Jean236 » 18 sept. 2017 21:19

Merci !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87572
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert

Message par Malekal_morte » 19 sept. 2017 10:19

Merci pour les détails.

Déjà que je ne suis pas particulièrement fan de ce type d'outil mais là c'est le pompon.
Déjà que CCleaner se colle au démarrage, nul doute qu'avec la récupération d'Avast!, cela va empirer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert

Message par Parisien_entraide » 19 sept. 2017 21:02

Malekal_morte a écrit :
19 sept. 2017 10:19
Merci pour les détails.

Déjà que je ne suis pas particulièrement fan de ce type d'outil mais là c'est le pompon.
Déjà que CCleaner se colle au démarrage, nul doute qu'avec la récupération d'Avast!, cela va empirer.
Vu ton aversion pour ce type de programme je savais que cela allait te plaire :-)

Mais sur un autre plan, je te rassure, on voit de moins en moins dans les fora généralistes des phrases de type : " Tu as un virus ? Passe un coup de Ccleaner" (Ccleaner la baguette magique des programmes qui fait aussi la vaisselle)

Néanmoins, cette infection révèle une nouvelle voie (déja empruntée meme si je n'ai cité qu'un exemple avec le logiciel Ukrainien) parce que les auteurs de vermines vont directement chez l'éditeur, colle des certificats valides (donc les AV ne voient rien), et arrivent à héberger leur fichier sur le site éditeur

Rien ne dit que d'autres programmes connus n'ont pas subis le même sort... Et même si un AV installé sur un PC utilise des méthodes sophistiquées d'analyses, ca passera tout seul. Là dans un premier temps, c'était juste de la télémétrie, et comme c'est devenu commun pour nombre de programmes, et accepté par tout le monde, aucun AV ne réagira
Peut etre qu'ils auraient réagi si un second malware (phase 2) avait été téléchargé mais rien n'est moins certain (exploitation d'une faille non connue etc)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87572
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert

Message par Malekal_morte » 20 sept. 2017 15:57

Non maintenant ça balance AdwCleaner à tout va =)
Morphisec a mis +15 jours pour prévenir alors qu'ils étaient au courant, c'est bizarre je trouve.

En clair, 3 Juillet => 12 Septembre.
Le rachat d'Avast! n'est probablement pas innocent là dedans.

La réaction est assez mauvaise aussi :
July 3 - Evidence suggests hackers breached Piriform's IT systems.
July 18 - Avast decides to buy Piriform, the company behind CCleaner.
August 15 - Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 installer included the Floxif trojan, but the malware executed only on 32-bit systems.
August 20 and 21 - Morphisec's security product detects first instances of malicious activity (malware was collecting device details and sending the data to a remote server), but Morphisec does not notify Avast.
August 24 - Piriform releases CCleaner Cloud v1.07.3191 that also includes the Floxif trojan.
September 11 - Morphisec customers share detection logs detailing CCleaner-related malicious activity with the company's engineers.
September 12 - Morphisec notifies Avast and Cisco of the suspicious CCleaner activity. Avast starts its own investigation and also notifies US law enforcement. Cisco also starts its own investigation.
September 14 - Cisco notifies Avast of its own findings.
September ?? - Cisco had registered, in the meantime, all the domains that the malware would have used in the future to determine and calculate the C&C server IP address.
September 15 - Following a collaboration between Avast and law enforcement, the malware's C&C server was taken down.
September 15 - Avast releases CCleaner 5.34 and CCleaner Cloud 1.07.3214 that remove the Floxif malware.
September 18 - CCleaner incident becomes public following Cisco, Morphisec, and Avast/Piriform reports.
source : https://blog.avast.com/update-to-the-cc ... y-incident
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87572
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert

Message par Malekal_morte » 21 sept. 2017 15:06

J'ai édité la fin du premier post suite à une nouvelle entrée et information du blog Avast!.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert

Message par Parisien_entraide » 21 sept. 2017 23:46

Malekal_morte a écrit :
21 sept. 2017 15:06
J'ai édité la fin du premier post suite à une nouvelle entrée et information du blog Avast!.
Merci pour les compléments:-) J'ai vu passer les news mais ne pouvais me connecter

A noter que TALOS a founi un complément (du lien que tu as fourni https://blog.avast.com/fr/enquete-cclea ... formations )

http://blog.talosintelligence.com/2017/ ... ncern.html

Finalement l'affaire est plus complexe qu'elle n'y parait puisque Talos a effectivement identifié un second payload

Autre lecture : https://www.bleepingcomputer.com/news/s ... companies/
_____________________________
The 32-bit trojan is TSMSISrv.dll, the 64-bit trojan is EFACli64.dll.
Identifying Stage 2 Payloads

The following information helps identify if a stage 2 payload has been planted on the system.

Registry Keys:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Fichiers avec les hashes :

Installer on the CC : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 (GeeSetup_x86.dll)
64-bit trojanized binary: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f (EFACli64.dll)
32-bit trojanized binary: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 (TSMSISrv.dll)
DLL in registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Stage 2 Payload: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
_________________________________________________

Le nettoyage pour certains ne vas pas se limiter à n'effacer qu'une clé de registre... (les AV ou les outils comme MalwareBytes à ce jour sont capables de désinfecter proprement la première charge)

Ceux qui sont touchés ne sont pas des simples particuliers
Ils appartiennent à des grands groupes comme : HTC, Samsung, Sony, Intel, Microsoft, VMWare, Epson, Gmail, Linksys, dLink, Cisco, ... des opérateurs comme Vodafone, ... ainsi que quelques centaines de machines dépendant de noms de domaine gouvernementaux qui ont également été prises pour cible.

Il s'agit donc d'une attaque servant un espionnage ciblé des entreprises tech. La première charge qui peut être considérée (sous un certain angle) comme de la télémetrie n'était là que pour déterminer si l'utilisateur utilisait CCleaner à partir d'un poste de ces grands groupes et si il remplissait certaines conditions (décrites dans le premier article)
Néanmoins un utilisateur Lambda d'un grand groupe si l'administrateur système fait son travail ne peut pas utiliser son poste en tant qu'administrateur. etc Ce qui explique peut être le peu de personnes atteintes par le deuxième payload
Dernière édition par Parisien_entraide le 22 sept. 2017 17:14, édité 1 fois.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 22 sept. 2017 08:26

QUI EST DERRIERE CETTE ATTAQUE ?

Il s'agirait du groupe APT17 aussi connu sous le nom de DeputyDog. APT17 est un groupe de cyberespionnage chinois qui opère en ligne depuis plus d’une décennie.

https://www2.fireeye.com/rs/fireye/imag ... Report.pdf


"En outre, si le C&C (Serveur de Commande et de Contrôle) laisse penser qu’il pourrait également s’agir d’un autre groupe selon M. Raiu de Kaspersky, ce groupe serait lui-même lié à un réseau le dépassant, appelé Axiom, dans lequel on trouve… APT17.

Les preuves semblent donc s’aligner vers le groupe de hackeurs liés à Pékin. L’ensemble d’Axiom est en effet considéré comme un archipel de collectifs liés aux intérêts chinois et guidés par les services secrets de la RPDC.
Axion avait dans son viseur nombre de stés liées à la Cybersécurité, car celles ci se sont unies dans un effort commun pour démasquer les outils et le mode de fonctionnement du groupe

Chez Intezer, une autre firme de sécurité informatique, Jay Rosenberg se montre catégorique : l’attaque de CCleaner est signée par les hackeurs d’APT 17.

Le code en question est une implémentation unique de base64 déjà aperçue seulement chez APT17 et inexistante dans des dépôts publics, ce qui en fait une lourde preuve conduisant à l’attribution des menaces à un même auteur [APT17] "

http://www.intezer.com/evidence-aurora- ... -ccleaner/

"Cisco Talos Intelligence a pu récupérer un lot de fichiers issu d’un serveur de commande et contrôle (C&C) clairement lié à l’attaque CCleaner. Sur l’un des fichiers PHP de ce lot, ils ont vu que le fuseau horaire spécifié dans le code était « PRC », ce qui signifie « People’s Republic of China


Il est toutefois nécessaire de rester prudent sur l’origine chinoise de l’attaque (1) : si les cibles et la méthode peuvent corroborer la théorie, des acteurs comme Morphisec préfèrent s’abstenir en raison d’un code trop réduit pour contenir des preuves.

En outre, si Talos a évalué et confirmé les déductions du Kaspersky Lab, les deux sociétés avancent ne pas avoir de preuves, seulement divers faisceaux d’indices allant dans le sens d’une attaque particulièrement exigeante techniquement et aux cibles à l’intérêt politique et national plus que financier. "

(1) Ces acteurs restent prudent car Il faut se souvenir que certains outils de la NSA incorporent des morceaux de code qui permettent d'accuser tel ou tel pays, suivant la politique du moment et leurs intérêts
Néanmoins ce groupe (APT17) n'en est pas à son premier essai : https://www.theguardian.com/world/us-em ... nts/245489
Aucune société chinoise ou russe ne figurait sur la liste cible à travers la version infectée de Ccleaner


Au 21 septembre :

Nous avons contacté individuellement les sociétés que nous connaissons qui ont été touchées en leur fournissant des informations techniques supplémentaires pour les aider ", a déclaré Vince Steckler, CEO d'Avast.
(en fait c'est CISCO via TALOS qui a averti en premier les stés)

Néanmoins, la réputation d'AVAST est entâchée (outre l'infection) du fait de ses analyses, puisque :

1) Après avoir analysé ces fichiers, les chercheurs ont constaté que les rapports initiaux sur le logiciel malveillant CCleaner - nommé Floxif - étaient faux.
(du moins partiellement puisqu'il ne s'agissait que de la première charge)
Tout le monde semblait au courant mais le logiciel AVAST pendant la période de téléchargement incriminée ne détectait rien (l'argument étant qu'il y avait une enquête des autorités américaines) Même le fichier de signatures et moteur Avast à travers Virus Total ne voyait rien 6 jours après la mise en place de la nouvelle version (l'ancienne n'étant pas détectée comme malveillante)
Le changelog de la nouvelle version de Ccleaner ne disait rien sur l'infection

Il y a quand meme 700 000 personnes infectées qui ont envoyé des infos au groupe de pirates entre le 12 et 16 septembre


2) Les rapports initiaux ont indiqué que le logiciel malveillant avait la possibilité de télécharger une charge utile de la deuxième étape et d'exécuter d'autres logiciels malveillants, mais cette fonctionnalité n'a jamais été utilisée.
(là aussi, ils se sont avancés un peu vite)
Avast partait du principe que 30% des utilisateurs de CCleaner utilisait également l’antivirus Avast et qu'en analysant les données liées à leur trafic réseau, le comportement de leur système ainsi que des données de télémétrie provenant de ces utilisateurs, il pouvait affirmait que la deuxième phase de la charge utile du malware n’avait jamais été activée...


3) Après avoir analysé la base de données du serveur C & C, les chercheurs ont déclaré que les opérateurs ont infecté 20 ordinateurs à travers le monde.
(et ce n'est pas le labo d'Avast qui a découvert cela)

Initialement en fait il y a eu la Sté Israélienne MORPHISEC qui a averti AVAST et CISCO
L'annonce a été faite surtout par TALOS (qui se fait ainsi de la pub et ne mentionne pas MORPHISEC) et qui a recontacté AVAST de ses propres découvertes

D'autres Stés se sont penchées sur le problème comme par ex Intezer, FireEye, ... et Kaspersky qui a fait part d'une autre découverte à TALOS et qui lui a surement fourni la copie digitale de ce qu'il y avait dans le serveur de commande et contrôle

Cela a permis de déterminer qu'il y avait 700 000 personnes infectées qui ont transmis des infos au groupe de pirates, mais la base de données a également montré une liste de domaines spécifiques sur lesquels les pirates informatiques cherchaient à installer leur charge utile malveillante secondaire, ainsi que ceux qui ont reçu cette deuxième infection.

La charge utile secondaire a ciblé 18 entreprises au total mais certaines entreprises ont eu plus d'un ordinateur compromis, et certains n'en ont pas.

Au final il n'y a eu donc que 8 entreprises compromises et une vingtaine de PC infectés (ceux qui correspondaient aux critères de sélection de la première charge, et qui dans un deuxième filtre, appartenaient aux entreprises ciblés)

____________________

https://twitter.com/cglyer/status/910237342060957696
https://twitter.com/mikko/status/910790 ... 40/photo/1
http://www.cert.ssi.gouv.fr/site/CERTF ... E-013.html

Umbra
Messages : 4
Inscription : 18 sept. 2017 13:35

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Umbra » 23 sept. 2017 22:23

Cette attaque semblerait être sponsorisée par le gouvernement Chinois afin de compromettre plusieurs multi-nationales.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 24 sept. 2017 02:01

Umbra a écrit :
23 sept. 2017 22:23
Cette attaque semblerait être sponsorisée par le gouvernement Chinois afin de compromettre plusieurs multi-nationales.
Il y a quand même quelques trucs bizarres

L'attaque était sophistiquée, mais tant d énergie dépensée pour récolter à peine une vingtaine (pour l'instant) de PC infectés (dont plusieurs de la même sté) cela semble quelque peu disproportionné
Ensuite, les DGA Domain n'étaient pas enregistrés, puis lorsqu'on voit que la base de données où figuraient les données récupérées a été supprimée par manque de place... Cela fait amateur

Qui dit que ce n'est pas la création de fin de stage d'une école de hackers comme savent en produire certains pays ? :-)

En tous les cas aux vues des dernières infos, les auteurs avaient une bonne connaissance des réseaux asiatiques


____________________________________________________________________________________

"Selon Avast, la base de données où les pirates CCleaner recueillaient des données provenant d'hôtes infectés manquait d'espace et a été supprimée le 12 septembre, ce qui signifie que les informations sur les victimes précédentes sont maintenant perdues pour les enquêteurs et le nombre d'ordinateurs infectés par les charges utiles de la porte dérobée en deuxième étape est peut être plus important que prévu initialement.

Cela signifie qu'il pourrait y avoir - et il existe certainement - de grandes entreprises de technologie qui ont actuellement une porte dérobée sur leur réseau." (...)

"Il est regrettable que le serveur était une machine bas de gamme avec une capacité de disque limitée, car si ce n'était pas pour cela, nous aurions probablement une image beaucoup plus claire de ce qui a été affecté par l'attaque car la base de données entière aurait été intacte à partir de la date de lancement initiale ", a déclaré Avast aujourd'hui.

https://blog.avast.com/avast-threat-lab ... r-incident

"Notre enquête et la recherche des auteurs continuent. Entre-temps, nous conseillons aux utilisateurs qui ont téléchargé la version affectée de passer à la dernière version de CCleaner et à effectuer une analyse de leur ordinateur avec un bon logiciel de sécurité, afin d'éviter toute autre menace sur leur PC."

Bizarrement ce coup ci ils ne disent pas qu'il faille utiliser AVAST :-)

____________________________________________
Le 31 juillet à 06:32 : Attackers install server.
Le 11 Août à 07:36 : Attackers initiate data gathering procedures in preparation for August 15 when they poison the CCleaner binary, and later the CCleaner Cloud binary.
Le 10 Septembre à 20:59 : Server runs out of space and stops data collection.
Le 12 Septembre à 07:56 : Attacker wipes database.
Le 12 Septembre à 08:02 : Attacker reinstalls database.
Le 16 Septembre : Authorities seize C&C server and adjacent database.
Dernière édition par Parisien_entraide le 26 sept. 2017 19:14, édité 2 fois.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 26 sept. 2017 19:06

Du nouveau au 21 Septembre

Source principale : https://blog.avast.com/additional-infor ... y-incident


Pour résumer :

LE NOMBRE DE PERSONNES INFECTEES


Une base de données du serveur auquel la version compromise envoyait des informations avait permis de déterminer une liste de machines infectées pour manifestement du cyberespionnage. Toutefois, il ne s'agissait pas d'un panorama complet, mais d'une liste s'étalant sur la période du 12 au 16 septembre.
Les chercheurs en sécurité ont fini par mettre la main sur une base de données quasiment complète.

Tant pour les charges utiles malveillantes de premier et deuxième niveau, il manque seulement une période de 40 heures qui correspond au plantage du serveur de contrôle et commande original, et la création d'un nouveau.

Avec cette vue beaucoup plus complète de l'incident de sécurité, Avast établit que

- Le nombre total de personnes qui ont téléchargé la version 5.33 infectée a été de 2.27 millions
- Le nombre total connexions au serveur de commande a été de 5,686,677 millions
- Le nombre de ceux qui répondaient aux critères de la première charge et qui ont communiqué (adresses MAC uniques) avec le serveur de contrôle et commande via la backdoor est de 1 646 536 million.
- Le nombre de ceux qui étaient en lien avec les entreprises ciblées et qui ont reçu le deuxième malware (seconde charge) est de 40

Soit.... 0.0018% du nombre de personnes infectées initialement

Pour rappel en première analyse on avait 700 000 personnes infectées avec la première charge, et 18 seulement retenues pour la seconde charge


Ce tableau montre en détail le nombre de machines infectées et les stés touchées
avast-tableau_027E000001649586.jpg

D'après AVAST ; " De toute évidence, le fait que la charge utile de la 2ème étape a été livrée à un ordinateur connecté à un réseau d'entreprise ne signifie pas que le réseau de l'entreprise a été compromis."

Les règles de filtrage pour le serveur saisi la semaine dernière ont ciblé des entreprises telles que :

Google
Microsoft
HTC
Samsung
Intel
Sony
VMWare
O2
Vodafone
Linksys
Epson
MSI
Akamai
DLink
Oracle (Dyn)
Gauselmann et Singtel .

Les règles de filtrage récupérées à partir du serveur de sauvegarde montrent qu'avant le 10 septembre, les attaquants ont ciblé une liste différente d'entreprises telles que

HTC
Linksys
Epson
Vodafone
Microsoft
Dlink
Gmail
Akamai
MSI
Cisco
Cyberdyne
Tactical Technologies Inc. (TTI)
GoDaddy.

Les chercheurs en sécurité précisent que ce filtre n'est que celui utilisé au moment de la sauvegarde, et entre le 15 août et le 10 septembre, les attaquants ont probablement ciblé de nombreuses autres entreprises.



A LA RECHERCHE DE LA SOURCE

La piste chinoise paraissait trop évidente et n'importe qui peut s'amuser à mettre des morceaux de codes ou informations connues pour accuser ou faire accuser tel ou tel pays

"La piste s oriente vers l'est de la Russie ou à l'Est du Moyen-Orient / Asie centrale et en Inde . De plus, étant donné le manque de trafic le samedi et le dimanche, cela indiquerait que ce n'était pas un pays arabe.

Une autre explication possible est qu'il y a eu plusieurs personnes impliquées dans l'opération, chacune travaillant à partir d'un fuseau horaire différent.

Il convient de noter que, bien qu'il y ait un grand nombre de sociétés de technologie / télécommunications en Chine, en Russie et en Inde, il n'y a pas de sociétés de ces pays sur la liste des entreprises ciblées par cette attaque."

Les investigations se poursuivent...

Dans le lien indiqué au début de l'article, AVAST donne des indications aux administrateurs système pour repérer si l'infection est présente



RAPPEL DE L'HISTORIQUE (à comparer et compéter avec l'autre déroulé chronologique indiqué dans un précédent message)


July 3 ⮞ Attackers breach Piriform infrastructure.
July 19 ⮞ Avast announces it bought Piriform, company behind CCleaner.
July 31, 06:32 ⮞ Attackers install C&C server.
August 11, 07:36 ⮞ Attackers initiate data gathering procedures in preparation for August 15 when they poison the CCleaner binary, and later the CCleaner Cloud binary.
August 15 ⮞ Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.
August 20 and 21 ⮞ Morphisec's security product detects and stops first instances of CCleaner malicious activity, but they did not have insight into what exactly they stopped.
August 24 ⮞ Piriform releases CCleaner Cloud v1.07.3191 that also included the Floxif trojan.
September 10 20:59 ⮞ C&C server runs out of space and stops data collection. Attackers make a backup of the original database.
September 11 ⮞ Morphisec customers share detection logs detailing CCleaner-related malicious activity with the company's engineers.
September 12 07:56 ⮞ Attackers wipe C&C server.
September 12 08:02 ⮞ Attackers reinstall C&C server.
September 12 ⮞ Morphisec notifies Avast and Cisco of the suspicious CCleaner activity. Avast starts its own investigation and also notifies US law enforcement. Cisco also starts its own investigation.
September 14 ⮞ Cisco notifies Avast of its own findings.
September 15 ⮞ Authorities seize C&C server.
September 15 ⮞ Avast releases CCleaner 5.34 and CCleaner Cloud 1.07.3214. These are clean versions.
September 18 ⮞ CCleaner incident becomes public following Cisco, Morphisec, and Avast/Piriform reports.
September ?? ⮞ ServerCrate provides a copy of the backup server to Avast.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87572
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte » 02 oct. 2017 12:33

Merci pour le complément.

Sur ma VM, j'avais un CCleaner et du coup il est vérolé avec Backdoor:win32/Floxif
backdoor-win32-floxif.png
Backdoor:Win32/Floxif détecté dans CCleaner
L'analyse Virustotal..

Plusieurs groupes de détection dont deux reprises par la plupart des éditeurs :
- Trojan.CChack et Hacked.CCleaner ou Trojan.CCleaner
- Backdoor.Floxif (Microsoft et Malwarebytes)

et les solos .... :
- Avast! : Win32:TlsHack
- BitDefender : Trojan.PRForm
- Gdata : Win32.Backdoor.Forpivast
- Symantec : Trojan.Sibakdi
- Sophos AV Troj/Mogoa-A

47 moteurs ont détecté ce fichier
SHA-256 6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
Nom du fichier ccleaner
Taille du fichier 7.32 MB
Dernière analyse 2017-10-02 08:05:24 UTC
Évaluation de la communauté -572

Ad-Aware Trojan.PRForm.A
AhnLab-V3 Trojan/Win32.Floxif.C2148591
ALYac Trojan.CChack.A
Antiy-AVL Trojan[FakeAV]/Win32.CCleaner
Arcabit Trojan.PRForm.A
Avast Win32:TlsHack-A [Trj]
AVG Win32:TlsHack-A [Trj]
Avira TR/CCleanerHKed.533.1
BitDefender Trojan.PRForm.A
ClamAV Win.Spyware.CCBkdr-6336251-2
Comodo TrojWare.Win32.CCleaner.~A
CrowdStrike Falcon malicious_confidence_100% (W)
Cylance Unsafe
Cyren W32/CChack.SQBY-7641
DrWeb Trojan.CCleaner.2
Emsisoft Backdoor.CCHack (A)
eScan Trojan.PRForm.A
ESET-NOD32 Win32/HackedApp.CCleaner.A
F-Prot W32/CChack.A
F-Secure Trojan.PRForm.A
GData Win32.Backdoor.Forpivast.B
Ikarus Backdoor.Hacked.CCleaner
Jiangmin Backdoor.Allaple.cdmj
K7AntiVirus Trojan ( 005174a31 )
K7GW Trojan ( 005174a31 )
Kaspersky Backdoor.Win32.InfeCleaner.a
Malwarebytes Trojan.Floxif
McAfee BackDoor-FDQI
McAfee-GW-EditionBackDoor-FDQI
Microsoft Backdoor:Win32/Floxif
NANO-Antivirus Trojan.Win32.Floxif.estdxt
nProtect Backdoor/W32.Floxif.7680216
Palo Alto Networks generic.ml
Panda Trj/HackCCleaner.A
Qihoo-360 Trojan.Generic
Rising Trojan.Win32.Generic.19DED509 (C64:YzY0OrBzlxbsmvBB)
Sophos AV Troj/Mogoa-A
Symantec Trojan.Sibakdi
Tencent Win32.Trojan.Gen.Anvr
TrendMicro BKDR_CCHACK.A
TrendMicro-HouseCall
BKDR_CCHACK.A VBA32 Trojan.Nyetya
ViRobot Backdoor.Win32.S.HackedCcleaner.7680216
Webroot W32.Trojan.Floxif
Zillya Backdoor.InfeCleaner.Win32.1
ZoneAlarm Backdoor.Win32.InfeCleaner.a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 22 oct. 2017 10:59

ADDENDUM du 12 Octobre 2017

Pour l'instant c'est le blackout sur qui a fait quoi, ce qui est normal car l'enquête est toujours en cours

Néanmoins, Cisco Talos s'est fendu d'un message sur leur approche concernant l'infection sous le titre "Disassembler and Runtime Analysis"
et fournit un script Python, avec les réserves d'usage :

"Nous fournissons un script pour aider les analystes à identifier la fonction d'exécution suspecte mais, comme d'habitude, ce n'est pas une solution miracle mais un nouvel outil à ajouter"

Le script est disponible à :

https://github.com/Cisco-Talos/pdata_check

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide » 26 oct. 2017 19:27

ADDENDUM du 26 Octobre 2017

Piriform l'éditeur de Ccleaner, vient de sortir une nouvelle version, la v5.36.6278 (24 Oct 2017)
Ccleaner536.png
Ccleaner536.png (11.91 Kio) Consulté 1175 fois
Lien de téléchargement : http://download.piriform.com/ccsetup536.exe

Suite au "problème" relaté en début d'article, une nouvelle fonctionnalité a été ajouté pour tout le monde (donc également pour la version gratuite) :

Emergency Updater, qui arrive avec son propre fichier exécutable - CCUpdate.exe - et une nouvelle tâche planifiée appelée CCleaner Updater.

La raison avancée, est que Piriform avait publiée une nouvelle version suite au piratage, mais que nombre d'utilisateurs n'avaient pas téléchargé

Derrière cette nouvelle fonctionnalité, on retrouve une similitude avec la mise à jour d'urgence d'AVAST (qui pour rappel à racheté Piriforme cette année)

La tâche est configurée pour s'exécuter au démarrage du système et une fois par jour également.



La deuxième modification majeure de CCleane
r 5.36 modifie certaines des règles de nettoyage par défaut du programme. Les règles par défaut sont celles qui sont définies lorsque vous exécutez le programme pour la première fois.

Probablement le plus grand changement à cet égard est que CCleaner ne supprimera plus les données de session de navigation par défaut. Les utilisateurs du programme qui n'ont pas prêté attention aux règles de nettoyage ont vu leur session de navigation supprimée lorsqu'ils ont exécuté CCleaner.

Le changement concerne Firefox, Chrome, Edge, Opera, Safari et Thunderbird.

CCleaner 5.36 ne nettoie plus l'historique d'analyse de Windows Defender, les MRU de Microsoft Office et plus récemment les documents utilisés et les autres fichiers MRU de Windows Explorer.

Pour ceux qui veulent aller plus loin dans le nettoyage, (cadre de la vie privée surtout donc des navigateurs par ex) il suffit d'ajouter cette extension https://singularlabs.com/software/ccenh ... enhancer/ en faisant TRES attention à ce qui est coché

__________________________

Donc pour résumer, on se retrouve avec une tâche programmée, qui peut être utile, sous condition que celle ci ne soit pas non plus détournée pour télécharger du code malveillant... mais cela alourdit encore le système.

Perso je vire avec "Autoruns" https://technet.microsoft.com/fr-fr/sys ... 63902.aspx toutes les taches programmées et services qui ne sont pas utiles au quotidien (PC utilisé dans un cadre de jeux) mais chacun fait ce qu'il lui plait :-)

A l'installation on n'a pas le choix concernant la tâche programmée. Même si on décoche "rechercher une mise à jour", l'installation de la tâche est effectuée automatiquement et est donc présente et. On retrouve ces tâches dans autoruns à l'onglet "sheduled tasks"

Par contre il n'y a rien dans la version portable


Edit du 28/10/2017

Après avoir tout décoché j'ai noté l'apparition en aléatoire (même genre qu'avec Avira Free) d'une fenêtre de ce type en bas à droite de l'écran, dès lors qu'on lance CCleaner de temps à autre :
CCleaner_Pop up.png
CCleaner_Pop up.png (6.17 Kio) Consulté 1131 fois
C'est lié au programme puisque chez moi CCleaner ne peut communiquer avec l'extérieur. Bref on sent derrière l'appareil AVAST qui a repris les choses en main.
Dernière édition par Parisien_entraide le 28 oct. 2017 09:08, édité 1 fois.

Avatar de l’utilisateur
Shimik_Root
Geek à longue barbe
Geek à longue barbe
Messages : 972
Inscription : 10 févr. 2009 20:56
Localisation : Nancy

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Shimik_Root » 27 oct. 2017 15:28

Merci pour l'info.

Perso je vais désinstaller CCleaner et ne me servir que de la version portable occasionnellement ce qui est dommage c'est qu'à mon avis on ne peut pas combiner CCleaner portable avec CCenhancer..


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités