本周Avast旗下知名系統清理軟體CCleaner被發(fā)現遭植入後門(mén)程式,致上億用戶(hù)有電腦機密資料外泄之虞。不過(guò)實(shí)際情況可能比這更嚴重;研究人員發(fā)現,其中潛藏的惡意程式已感染200多萬(wàn)臺電腦,受害者甚至包括微軟、思科、三星,以及微星、友訊、HTC等20家知名公司。
透過(guò)廣受歡迎的CCleaner 5.33.6162版散布的攻擊程式,是一個(gè)2階段下載的APT(Advanced Persistent Threat)攻擊手法,并與外部C&C服務(wù)器建立連結。Avast Security及Cisco Talos研究人員原本以為還未發(fā)生,但在拿下C&C服務(wù)器取得其資料後分析發(fā)現,它已經(jīng)開(kāi)始向外擴散。
Avast指出,在8月15日到9月15日之間全球共227萬(wàn)臺電腦受到影響。從三天的C&C服務(wù)器紀錄來(lái)看,來(lái)自8個(gè)組織的20臺電腦收到第2階段的指令,實(shí)際收到第2階段命令的電腦數量可能有數百臺。
Avast研究人員認為這波攻擊鎖定臺灣、日本、英國、德國及美國的大型科技業(yè)、電信公司,但不愿意公開(kāi)揭露名單,僅個(gè)別私下通知這些公司。
Cisco Talos的研究人員僅采樣9月的4天C&C服務(wù)器連線(xiàn)紀錄,根據研究人員貼出的熒幕截圖(下圖,來(lái)源:Talos),包括微軟、思科、HTC、微星、友訊、英特爾、VMware、三星、Sony、Google/Gmail等在清單上。
從9月12日到15日的4天,C&C服務(wù)器的資料即顯示有超過(guò)70萬(wàn)臺電腦和其連線(xiàn)。電腦中的重要資訊,包括IP位址、上線(xiàn)時(shí)間、主機及網(wǎng)域名稱(chēng)等都已悄悄傳回外部服務(wù)器,而讓攻擊者決定下一階段準備攻擊哪些機器。而這段采樣的時(shí)間,至少20臺電腦收到第二階段的指令,顯示是有目標性的攻擊行動(dòng)。
研究人員發(fā)現,第2階段攻擊程式相當復雜,目前只知它使用的是另一個(gè)C&C控制網(wǎng)絡(luò ),而且包含第3階段的無(wú)檔案(fileless)攻擊,會(huì )在受害電腦記憶體中注入惡意程式。但因為大量運用反偵錯(anti-debugging)及防模擬的手法隱藏其內部架構,研究人員正在和執法單位還在努力解析中。
至於背後攻擊者也還不得而知。但Talos發(fā)現該後門(mén)程式部門(mén)程式碼和一個(gè)與中國有關(guān)的駭客活動(dòng)有重疊之處,而且從該C&C服務(wù)器使用的時(shí)區研判,可能和中國有關(guān)。
