Objet: Bulletin d’actualité CERTFR-2017-ACT-038

Migration du site du CERT-FR

Afin de répondre aux enjeux opérationnels et aux attentes grandissantes des acteurs de la sécurité du numérique, l'ANSSI met à disposition une nouvelle version du site internet du CERT-FR.

Ce nouveau site se veut plus ergonomique, afin de valoriser l'actualité et les publications du CERT-FR.

Il sera mis en ligne le lundi 2 octobre 2017.

Avant ce changement définitif et afin de permettre aux bénéficiaires de régler les analyseurs syntaxiques automatisés, le futur site est disponible jusqu'au 2 octobre à l'adresse suivante http://cert-ng.ssi.gouv.fr

Nous sommes également intéressés par vos éventuels retours : communication@ssi.gouv.fr

Bonne naviguation !

CCleaner

Résumé

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191 contenaient un code malveillant permettant de télécharger une porte dérobée sur le poste des utilisateurs de ces logiciels.

Ces exécutables malveillants ont été découverts en simultané par la société Morphisec et l'équipe Talos de Cisco. Piriform, racheté depuis par Avast, a été prévenu dès le 12 septembre 2017. Le même jour, les versions compromises du logiciel ont été retirées du site de Piriform et des mises à jour ont été proposées aux utilisateurs.

Le serveur principal de commande-et-contrôle a été déconnecté du réseau le 15 septembre 2017 grâce à la collaboration entre Avast et les forces de l'ordre.

Les premières analyses ont été publiées par Morphisec et Talos le jour de l'annonce de Piriform.

L'initialisation du code malveillant

L'exécutable du logiciel CCleaner contenait une portion de code malveillant, pourtant celui-ci avait une signature valide issue du certificat racine de Piriform. D'après Morphisec, cela peut s'expliquer par la compromission de la machine d'un des développeurs ou de l'infrastructure de compilation. Le code malveillant peut alors être ajouté sans que les développeurs s'en rendent compte.

Méthode d'infection

Au démarrage du binaire, le code injecté lors de la compilation redirige le flux d'exécution du programme vers du code chargé de déchiffrer un fichier DLL puis de l'exécuter.

Cette DLL contient la logique de communication avec le serveur de commande-et-contrôle ainsi que la fonction de collecte d'informations sur la machine.

L'exécution du fichier DLL comprend plusieurs étapes :

• la détermination du nom de domaine du serveur de commande-et-contrôle selon un algorithme prédéterminé ;
• la collecte et la transmission au serveur de commande-et-contrôle des informations système ;
• le stockage et l'exécution de la charge utile retournée par le serveur de commande-et-contrôle.

Choix des cibles à infecter

La prise en main du serveur principal de commande-et-contrôle a permis de récupérer le code PHP de ce dernier.

Si toutes les informations système transmises sont sauvegardées, la charge utile n'est pas toujours renvoyée. Le serveur de commande-et-contrôle ne la renvoie que dans le cas où l'origine de la requête reçue correspond à un domaine ciblé. Les domaines ciblés portent sur des sociétés de haute-technologie.

D'après Talos, 700 000 systèmes auraient été infectés dans la période du 12 au 16 septembre 2017. Sur ce nombre, une vingtaine de machines seulement aurait reçu la charge utile.

Attaques par la chaîne d'approvisionnement

Le cas de CCleaner illustre les attaques indirectes contre des cibles, par l'intermédiaire de leurs fournisseurs de logiciel.

Les attaques contre des sociétés ukrainiennes lors de la campagne NotPetya constituent un autre exemple d'attaques par la chaîne d'approvisionnement. Dans ce cas, l'éditeur d'un logiciel de gestion a été compromis. Son logiciel contenait une porte dérobée, permettant ensuite l'envoi de NotPetya à plusieurs sociétés ukrainiennes.

Recommandations

Pour se protéger de ce type d'attaques, il est nécessaire :

• d'avoir une maîtrise des logiciels installés sur le parc, ce qui implique l'interdiction aux utilisateurs d'avoir les privilèges nécessaires pour installer des logiciels sur leur poste ;
• de réaliser un suivi des vulnérabilités voire des compromissions des fournisseurs logiciels installés et d'appliquer les correctifs dans les plus brefs délais ;
• de contrôler ces fournisseurs grâce à des audits, lorsque cela est possible ;
• d'utiliser des mesures de sécurité comme la vérification de la somme de contrôle des programmes téléchargés et l'utilisation d'un mécanisme de signature.

Documentation

• Alerte CERTFR-2017-ALE-013 http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-013/index.html
• Article CISCO Talos - CCleanup: A Vast Number of Machines at Risk http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
• Article CISCO Talos - CCleaner Command and Control Causes Concern http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
• Article Morphisec - Morphisec Discovers CCleaner Backdoor Saving Millions of Avast Users http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor
• Article Avast - Update to the CCleaner 5.33.6162 Security Incident https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
• Article Avast - Progress on CCleaner Investigation https://blog.avast.com/progress-on-ccleaner-investigation
• Bulletin de sécurité Piriform du 18 septembre 2017 http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users