Le lien semble désactivé (temporairement espérons), donc e vous colle le contenu ici (copier/coller de l'article d'Avast) :
De grandes entreprises de technologie et de télécommunications ont été prises pour cible.
À la suite du retirement du serveur CnC et de l'accès à ses données, l'équipe du laboratoire des menaces a travaillé 24 heures sur 24 pour enquêter sur la source de la récente attaque concernant le logiciel CCleaner de la société Piriform.
Pour récapituler, l'attaque a affecté un total de
2,27M d'ordinateurs entre le 15 août 2017 et le 15 septembre 2017, et a utilisé le populaire logiciel de nettoyage PC CCleaner dans sa version
5.33.6162 en tant de véhicule de distribution.
Aujourd'hui, nous souhaiterions faire un rapport sur les progrès réalisés jusqu'ici.
Tout d'abord, l'analyse des données du serveur CnC a prouvé qu'il s'agissait d'une APT (Advanced Persistent Threat) programmée pour que la charge utile de la deuxième étape sélectionne les utilisateurs.
Plus précisément, les journaux du serveur ont indiqué 20 machines pour un total de 8 organisations auxquelles cette charge utile a été envoyée, mais étant donné que ces journaux ont seulement été collectés pendant un peu plus de trois jours, le nombre réel d'ordinateurs ayant reçu cette même charge utile était probablement de l'ordre de plusieurs centaines.
Il s'agit d'un changement par rapport à
notre énoncé précédent, dans lequel nous avions déclaré que, à notre connaissance, la charge utile de la 2ème étape n'avait jamais été livrée.
Au moment où le serveur a été retiré, l'attaque visait une sélection de grandes entreprises de technologie et de télécommunications au Japon, à Taiwan, au Royaume-Uni, en Allemagne et aux États-Unis.
Étant donné que CCleaner est un produit à destination du consommateur, il s'agissait d'une attaque abreuvoir typique où il n'était pas intéressant pour l'attaquant de toucher la grande majorité des utilisateurs, mais ils devaient toutefois en toucher certains.
Pour des raisons de confidentialité, nous ne divulguons pas publiquement la liste des entreprises ciblées. Au lieu de cela, nous nous sommes adressés individuellement à celles concernées en leur fournissant notamment des informations techniques supplémentaires afin de les aider.
La charge utile de la 2ème étape est un code relativement complexe qui utilise deux composants (DLL). Le premier composant contient la logique métier principale. Comme pour la première charge utile, il est fortement caché et utilise un certain nombre d'astuces anti-débogage et anti-émulation.
Une grande partie de la logique est liée à la découverte et à la connexion à un autre serveur CnC, dont l'adresse peut être déterminée à l'aide de trois mécanismes différents : 1) un compte sur GitHub, 2) un compte sur Wordpress et 3) un enregistrement DNS d'un domaine get.ad
xxxxxx.net (nom modifié ici).
Par la suite, l'adresse du serveur CnC peut également être arbitrairement modifiée à l'avenir en envoyant une commande spéciale, reconnue par le code comme un signal pour utiliser le protocole DNS (udp / 53) afin d'obtenir l'adresse du nouveau serveur.
En application avec la loi, nous continuons d'approfondir ces analyses grâce à l'accès aux données de ces serveurs CnC supplémentaires et en remontant davantage vers les traces de l'attaquant.
La deuxième partie de la charge utile est responsable d'une certaine persistance. En effet, un mécanisme différent est utilisé sur
Windows 7 + et sur
Windows XP .
Sur
Windows 7+, le binaire est déversé sur un fichier appelé "
C: \ Windows \ system32 \ lTSMSrv.dll" et le chargement automatique de la bibliothèque est assuré par la validation du service NT "SessionEnv" (le service RDP).
Sur
XP, le fichier binaire est enregistré sous la forme "
C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” et le code utilise le service "Spooler" pour charger.
En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec.
La plupart des codes malveillants sont délivrés à partir du registre (le code binaire est enregistré directement dans le registre des clés “
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]”).
Encore une fois, toutes ces techniques démontrent le haut niveau de sophistication de l'attaquant.
Parallèlement à l'analyse technique, nous avons continué à travailler avec les forces de l'ordre pour retrouver la source de l'attaque. Nous nous engageons à aller jusqu'au bout de ce qui se cache derrière cette attaque. Tout en continuant à fournir des mises à jour périodiques, nos énergies sont axées sur la capture des auteurs.
Notre approche est de faire tout cela en arrière-plan, afin d'accroître nos chances d'identifier l'auteur. Nous croyons qu'il serait inutile d'être trop bruyant, en indiquant, par exemple, qui a été ciblé et / ou compromis, et qu'il appartient aux entités concernées de choisir le moment de le révéler.
Enfin, il est extrêmement important pour nous de résoudre le problème sur les machines de notre clients. Nous recommandons donc de mettre à jour CCleaner vers la dernière version (maintenant 5.35, après que nous ayons révoqué le certificat de signature utilisé pour signer la version impactée 5.33) et d'utiliser un produit antivirus de qualité, comme Avast Antivirus.
Pour les entreprises, la décision peut être différente et dépendra probablement de leurs politiques informatiques. À ce stade, nous ne pouvons pas affirmer que les machines d'entreprise ne pourraient être compromises, même si l'attaque était très ciblée.
Nous allons fournir des mises à jour supplémentaires à mesure que nous progressons dans l'enquête.
Sam 23 Sep - 15:42
