Ce qu'il faut retenir et qui n'est pas toujours mis en avant sur les différents sites de news sur le net :
Cela ne concerne QUE la version 32Bits de CCleaner
Il est dit que cela n'affecte QUE la version gratuite.
LES FAITS :
Sur le site de Piriform, éditeur de CCleaner, il a été proposé entre le 15 aout et le 12 septembre, une version modifiée qui incorporait du code malveillant
La version concernée est la 5.33 de CCleaner (5.33.6162), en 32 bits, ainsi que CCleaner Cloud en version 1.07.3191
https://www.piriform.com/news/blog/201 ... dows-users
Avast (qui a racheté Piriform en juillet 2017) explique avoir repéré l’infection avant les équipes de Talos
( https://www.cisco.com/c/m/fr_fr/produc ... index.html ) mais a déclaré avoir refusé de rendre l’attaque publique immédiatement du fait d’une enquête en cours avec les autorités américaines
Néanmoins c'est seulement après le 12 septembre qu'une version saine a été mise en place sur le site de Piriform sans explications (le changelog ne dit rien) :
________________________
v5.34.6207 (12 Sep 2017)
Browser Cleaning
- Firefox: Internet History cleaning rule no longer removes Favicon content
General
- Minor GUI improvements
- Minor bug fixes
________________________
Voir les explications dans le forum AVAST : https://forum.avast.com/index.php?topic=208612.45
Le changelog de la version 5.35.6210 sortie le 20/09 et faisant état d'un changement de certificat, est "légérement" plus parlant
http://www.piriform.com/news/release-an ... eaner-v535
"CCleaner v5.35
The Piriform team would like to announce the latest release of CCleaner for Windows.
CCleaner version 5.35 has been released with a new digital signature to update our systems after the September 18th security notification.
We encourage all users to update to this new version.
DECOUVERTE ET FONCTIONNEMENT
La découverte s'est faite par hasard vers le 12 septembre.
C'est TALOS (Cisco) qui testant un nouveau système de détection, qui repère un comportement malveillant provenant de l’installateur de CCleaner.
En inspectant le processus, les chercheurs se sont aperçus que l’installateur ne se contentait pas d’installer CCleaner, mais profitait également de l’installation pour déployer un malware sur la machine de la cible.
L'activation demandait plusieurs conditions, les principales :
- Il lui fallait 601 secondes pour procéder à son installation
Il enregistrait l'heure système sur la machine infectée et la retardait alors pendant 601 secondes avant de continuer ses opérations, probablement une tentative d'échapper à des systèmes d'analyse automatisés qui sont configurés pour exécuter des échantillons pour une période de temps prédéfinie ou déterminer si le malware est exécuté dans un débogueur.
Si cette condition (dépassement) n'est pas remplie, le malware met fin à l'exécution alors que le binaire CCleaner continue les opérations normales.
_ Il cherchait à savoir si l’utilisateur de la machine était administrateur et s’il parvenait à contacter son serveur de Command&control via une liste de noms de domaines générés automatiquement.
Le malware collectait également les profils des machines infectées et les transmettait au serveur de command&control, qui pouvait en retour lui envoyer des instructions supplémentaires à exécuter.
Les versions modifiées collectaient certains renseignements comme :
- Nom de l’ordinateur ;
- Liste des logiciels installés, dont les mises à jour Windows ;
- Liste des processus actifs ;
- Les adresses Mac des trois premières cartes réseau ;
- Des éléments complémentaires (quels processus bénéficient des privilèges Administrateur, s’agit-il d’un système 64 bits, …).
Le gros problème, c'est que celui qui a inséré ce code avait accès à la machine de développement ET au niveau de la chaîne d'approvisionnement lors de la compilation : Les versions compromises de CCleaner ont ainsi été signées avec un certificat de l’éditeur et disponible sur le site éditeur
On peut noter qu'il y a une forte ressemblance avec la propagation du malware NotPetya.
C'est en effet à travers une sté Ukrainienne (Intellect Service) qui produit un logiciel de comptabilité et de fiscalité M.E.Doc, très utilisé, mais compromis que Notepeya s'est diffusé
QUI EST TOUCHE ?
2,27 millions d'utilisateurs utilisaient la version 5.33.6162 du logiciel CCleaner, tandis qu'un peu plus de 5000 utilisateurs avaient recours à la version v1.07.3191 de CCleaner Cloud (selon AVAST/Piriform)
Pour rappel, Piriform, revendique 2 milliards de téléchargements dans le monde de Ccleaner (en novembre 2016) et 5 millions de nouveaux utilisateurs chaque semaine
Par la suite, des ordinateurs d'entreprises ont été ciblé pour une deuxième phase de l'attaque, se reporter à l'EDIT plus bas.
LES SOLUTIONS PROPOSEES
Piriform demande à tous les utilisateurs de CCleaner 5.33 en 32 bits de mettre à jour à la version 5.34 du logiciel (disponible depuis le 12 septembre).
Pour CCleaner Cloud, la mise à jour est automatique.
Avast conseille :
! | Nous recommandons donc de mettre à jour CCleaner vers la dernière version (maintenant 5.35, après que nous ayons révoqué le certificat de signature utilisé pour signer la version impactée 5.33) et d'utiliser un produit antivirus de qualité, comme Avast Antivirus. |
Dans Forbes https://www.forbes.com/sites/thomasbrew ... 23f7f5316a
Le CTO d’Avast, Ondrej Vicek, invite néanmoins les utilisateurs à ne pas trop s’inquiéter. Selon lui, les attaquants n’ont pas eu le temps d’exploiter la seconde phase de l’attaque et de causer de réels dommages aux machines infectées. « De ce que nous en savons, c’était une phase de préparation pour une attaque beaucoup plus massive, mais elle a heureusement été stoppée à temps (dans les faits ce n'est pas tout à fait vrai, voir autres explications plus bas)
Cisco Talos, lui, recommande aux systèmes compromis de procéder à une restauration avant la date du 15 août, voire à une réinstallation (à noter que Talos avait acheté la série de noms de domaine qui n'avaient pas été enregistré par l'auteur du malware et qui s'y trouvaient codés)
D'autres disent qu'il suffit de virer l'executable et de mettre à jour, car le malware est encodé dans le .exe de CCleaner (mais il reste des scories dont dans la base de registre)
Dans l'absolu c'est vrai puisque seulement une vingtaine de machines ciblées ont téléchargé la deuxième version du payload (appartenant à de grands groupes)
Donc le plus simple pour la majorité des particuliers suivre les indications de : https://www.supprimer-virus.com/backdoor-floxif/
Et pour mettre en avant que la solution première du PDG d'Avast pour neutraliser la version malveillante, qui consistait juste à effectuer une mise à jour de CCleaner ce qui enlevait toutes les traces, est une aberration :
Le cheval de Troie Floxif-Nyetya est connu pour se propager par injection de code malveillant dans d'autres fichiers exécutables légitimes (et donc présumés sûrs)
Jusqu'à présent, cette souche particulière du cheval de Troie Floxif / Nyetya est connue pour infecter et injecter un code malveillant dans certains fichiers
Dans le cas présent c'était prévu pour la deuxième charge, après sélection des "candidats" (voir plus bas)
Il est important de souligner
- Qu'il faut être administrateur pour que le malware entre en action (par ex sur Windows 7 home premium )
- Que la version gratuite ne se met pas à jour automatiquement (mise à jour manuelle)
- Que les AV ne détectaient rien jusqu'à présent car le logiciel utilisait un certificat valide
Que si vous avez un doute, vous pouvez jeter un oeil dans la base de registre voir si le terme "Agomo" existe
HKLM\SOFTWARE\Piriform\Agomo:xxx
L'impact est "a priori" négligeable (voir les explications de Talos (ci dessous) et d'Avast (début article) mais après désinfection il vaut mieux changer ses login et mot de passe
Pour en savoir plus avec tous les détails :
http://blog.talosintelligence.com/2017/ ... lware.html
-_________________________________________
Edit :
Je viens de faire un test sur la version Pro en 32Bits, et : https://www.virustotal.com/#/file/c92ac ... /detection
Idem avec la version portable : https://www.virustotal.com/fr/file/e710 ... 505743616/
Donc le 18/09 à 23h15, seuls Clam AV, Emsisoft, Gdata, K7GW, McAFee, WebRoot, Dr Web, ESET Nod32, K7Antivirus, MalwareBytes, McAfee GW Edition détectaient un problème... Le trio de tête, les ténors habituels champions de tous les tests ; Kaspesky, Bitdefender et Avira ne voyaient rien
A leur décharge, AVAST/AVG ne voyaient rien non plus du moins avec Virus total (qui n'utilisent que les moteurs et fichiers de signatures)
Ces derniers détectent en Trojan.Nyetya ou Trojan.Floxif
Donc.. toujours se méfier de ce que raconte virustotal (ce n'est qu'indicatif), et si les AV "installés" ne voient rien non plus (à tester donc) il y a lieu de se poser des questions sur les autres méthodes d'analyse qu'ils proposent
Rien ne dit que d'autres programmes actuels ne soient pas infectés non plus
Du reste c'est peut être là le problème, parce que cette version possède le même certificat de sécurité que la version 32Bits
Après quelques tests, la version Pro en 32Bits ne crée pas de clé de registre, et la version "portable" qui porte bien son nom n'a pas l'installeur qui comporte le malware, mais les AV installés et virustotal mettent toutes les versions dans le même sac :-)
_____________________________________________________
Si vous souhaitez des alternatives à CCleaner : Les alternativse à CCleaner
Certains ont une spécificité que les autres n'ont pas (dont Privazer en version Pro qui s'occupe des shellbags dont se nourissent certains programmes un peu trop curieux ou Wise Disk dans un de ses onglets qui vire proprement les anciens fichiers d'installation de windows
Si vous continuez avec CCleaner, n'oubliez pas de lui adjoindre CCEnhancer https://singularlabs.com/software/ccenhancer/
N'oubliez pas non plus de décocher dans les options :
- Effacer uniquement les fichier temporaires de windows datant de plus de 24heures (quel est l'interet, si on est dans une optique de nettoyage pour la vie privée que cela reste coché ?)
- Supprimer les fichiers de la corbeille seulement si ils y sont depuis plus d'un jour (idem)
- Désactiver la surveillance système (virer des fichiers du cache qui peuvent être utilisés à nouveau ne sert à rien si ce n'est ralentir)
- Nettoyer automatiquement l'ordinateur au démarrage (pour le ralentir ? En plus Windows va recréer des logs dans la foulée)
Dans autoruns vérifier dans l'onglet "Sheduled tasks " si la tache programmée de ccleaner est décochée
Cela évitera un CCleaner en résident, avec une tâche de fond qui ne sert à rien
EDIT 21/09/2017 - Malekal : nouvelle information
Source : https://blog.avast.com/fr/enquete-cclea ... formations
En clair, ils on arrosé pour pouvoir ensuite cibler des ordinateurs spécifiques.Tout d'abord, l'analyse des données du serveur CnC a prouvé qu'il s'agissait d'une APT (Advanced Persistent Threat) programmée pour que la charge utile de la deuxième étape sélectionne les utilisateurs.
Plus précisément, les journaux du serveur ont indiqué 20 machines pour un total de 8 organisations auxquelles cette charge utile a été envoyée, mais étant donné que ces journaux ont seulement été collectés pendant un peu plus de trois jours, le nombre réel d'ordinateurs ayant reçu cette même charge utile était probablement de l'ordre de plusieurs centaines.
Après avoir saisie les serveurs, il semblerait que l'attaque soit une partie dans des attaques plus vastes menées contre des entreprises du Japon, à Taiwan, au Royaume-Uni, en Allemagne et aux États-Unis.
Le malware utilisé dans la seconde phase de l'attaque est assez sophistiqué :
EDIT 24/09/2017 - informations Etape 3Sur Windows 7+, le binaire est déversé sur un fichier appelé "C: \ Windows \ system32 \ lTSMSrv.dll" et le chargement automatique de la bibliothèque est assuré par la validation du service NT "SessionEnv" (le service RDP).
Sur XP, le fichier binaire est enregistré sous la forme "C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” et le code utilise le service "Spooler" pour charger.
En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec.
La plupart des codes malveillants sont délivrés à partir du registre (le code binaire est enregistré directement dans le registre des clés “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]”).
De nouvelle informations ont été publiées par les études des serveurs.
Parisien_entraide a donné ces dernières informations plus bas dans ce topic : viewtopic.php?f=11&p=440523#p440442
EDIT 18/04/2018 - nouvelles informations
Avast! a publié une mise à jour concernant l'attaque.
Notamment, l'attaque initiale qui a permis la prise de contrôle d'un ordinateur s'est faite avec Teamviewer.
Les attaquants connaissaient les identifiants de connexion, il n'a pas été établi comment.
Des Trojans ont été alors placés sur l'ordinateur dont certains grâce à des scripts VBS.
Cela a permis ensuite le piratage d'un second ordinateur en plaçant un malware dans le registre par RDS.
Deux jours plus tard, le premier ordinateur a été utilisé pour infiltrer d'autres ordinateurs en utilisant des keyloggers pour récupérer des mots de passe et utiliser RDS.
A partir de là, la diffusion du malware ShadowPad a débuté.
Ce piratage a eu lieu, le 11 Mars 2017, soit plusieurs mois avant la compromission de CCleaner (2 Août 2018).
Des samples de ShadowPad ont été uploadés sur VirusTotal en Décembre 2017.
Ces derniers ont été utilisés en Corée du Sud et en Russie (contre une entreprise ou organisation).
Des samples plus ancien de 2014 ont été trouvés et utilisés dans l'attaque Russe.
Il est donc possible que cette organisation ait été piratée pendant plusieurs années.
L'entrée du blog Avast! : https://blog.avast.com/update-ccleaner- ... teamviewer