Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • CCleaner Cloud v1.07.3191 sur windows
  • CCleaner v5.33.6162 sur windows

Résumé

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner et CCleaner Cloud contenaient une portion de code malveillant permettant de télécharger une porte dérobée sur le poste des utilisateurs.

Contournement provisoire

Dans un billet de blogue (cf, section Documentation), Talos explique le fonctionnement de l'attaque. Lorsque CCleaner.exe est exécuté, la portion de code malveillante rajoutée par les attaquants est également lancée. Après une dizaine de minutes, une tentative de connexion est effectuée pour tenter de télécharger et exécuter une porte dérobée sur le poste de l'utilisateur.

Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers l'un des domaines suivants :

  • ab6d54340c1a[.]com._BAD_
  • aba9a949bc1d[.]com._BAD_
  • ab2da3d400c20[.]com._BAD_
  • ab3520430c23[.]com._BAD_
  • ab1c403220c27[.]com._BAD_
  • ab1abad1d0c2a[.]com._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_

Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.

Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform\Agomo.

L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que l'infrastructure de contrôle du code malveillant a été démantelée.

Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur. Cela indique une probable compromission interne impactant leur chaîne de publication. Une confiance faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci (sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).

Il est possible de placer ce dernier dans la liste des certificats non autorisés de Windows (cf. section Documentation). Cette action n'est pas bloquante, l'utilisateur pourra exécuter le programme mais il verra s'afficher un message d'alerte.

De manière plus restrictive, on peut interdire l'utilisation de tout programme signé avec un certificat jugé indigne de confiance avec Applocker (cf. section Documentation).

Le 20 septembre 2017, Talos a publié un second billet (cf. section Documentation) détaillant l'attaque du point de vue du serveur de livraison de charge. Le code du serveur web récupéré montre un soucis de validation des cibles. Cela est renforcé par l'analyse des bases de données : sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

Talos fournit les condensats de cette charge et des fichiers malveillants déposés suite à son exécution :

  • GeeSetup_x86.dll : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
  • EFACli64.dll : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
  • TSMSISrv.dll : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902
  • f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Le dernier condensat correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants. Celle-ci est stockée dans la base de registre de Windows, de manière encodée, dans les clés suivantes:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

Les 21 et 25 septembre 2017, Avast a publié deux billets (cf. section Documentation) dans lesquels sont détaillées les analyses des fichiers trouvés sur le serveur de commande-et-contrôle. Avast annonce avoir reconstitué presque entièrement la base de données des attaquants.

Selon eux, pendant la période du 18 août au 15 septembre 2017, les attaquants ont enregistrés 5 686 677 connexions provenant de 1 646 536 machines distinctes. Toutefois, seulement une quarantaine de postes auraient téléchargé et exécuté la charge secondaire.

La disproportion entre le vecteur massif de propagation et le nombre de victimes potentielles renforce le caractère ciblé de l'attaque.
Avast fournit également d'autres indicateurs de compromission :

  • a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15
  • 7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538
  • 4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17
  • b3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e
  • a6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5
  • 216.126.225.163_BAD_ (adresse ip du serveur secondaire de commande-et-contrôle)
  • get.adoble[.]com._BAD_
  • https://github[.]com/search?q=joinlur&type=Users&u=✓._BAD_
  • https://en.search.wordpress[.]com/?src=organic&q=keepost._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_
  • ab3c2b0d28ba6[.]com._BAD_
  • ab99c24c0ba9[.]com._BAD_
  • ab2e1b782bad[.]com._BAD_
  • ab253af862bb0[.]com._BAD_
  • ab2d02b02bb3[.]com._BAD_
  • ab1b0eaa24bb6[.]com._BAD_
  • abf09fc5abba[.]com._BAD_
  • abce85a51bbd[.]com._BAD_
  • abccc097dbc0[.]com._BAD_
  • ab33b8aa69bc4[.]com._BAD_
  • ab693f4c0bc7[.]com._BAD_
  • ab23660730bca[.]com._BAD_

Documentation