CERTFR-2017-ALE-013

Vulnerability from certfr_alerte - Published: - Updated:

Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017, CCleaner et CCleaner Cloud contenaient une portion de code malveillant permettant de télécharger une porte dérobée sur le poste des utilisateurs.

Contournement provisoire

Dans un billet de blogue (cf, section Documentation), Talos explique le fonctionnement de l'attaque. Lorsque CCleaner.exe est exécuté, la portion de code malveillante rajoutée par les attaquants est également lancée. Après une dizaine de minutes, une tentative de connexion est effectuée pour tenter de télécharger et exécuter une porte dérobée sur le poste de l'utilisateur.

Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers l'un des domaines suivants :

  • ab6d54340c1a[.]com._BAD_
  • aba9a949bc1d[.]com._BAD_
  • ab2da3d400c20[.]com._BAD_
  • ab3520430c23[.]com._BAD_
  • ab1c403220c27[.]com._BAD_
  • ab1abad1d0c2a[.]com._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_

Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.

Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform\Agomo.

L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que l'infrastructure de contrôle du code malveillant a été démantelée.

Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur. Cela indique une probable compromission interne impactant leur chaîne de publication. Une confiance faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci (sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).

Il est possible de placer ce dernier dans la liste des certificats non autorisés de Windows (cf. section Documentation). Cette action n'est pas bloquante, l'utilisateur pourra exécuter le programme mais il verra s'afficher un message d'alerte.

De manière plus restrictive, on peut interdire l'utilisation de tout programme signé avec un certificat jugé indigne de confiance avec Applocker (cf. section Documentation).

Le 20 septembre 2017, Talos a publié un second billet (cf. section Documentation) détaillant l'attaque du point de vue du serveur de livraison de charge. Le code du serveur web récupéré montre un soucis de validation des cibles. Cela est renforcé par l'analyse des bases de données : sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

Talos fournit les condensats de cette charge et des fichiers malveillants déposés suite à son exécution :

  • GeeSetup_x86.dll : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
  • EFACli64.dll : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
  • TSMSISrv.dll : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902
  • f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Le dernier condensat correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants. Celle-ci est stockée dans la base de registre de Windows, de manière encodée, dans les clés suivantes:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

Les 21 et 25 septembre 2017, Avast a publié deux billets (cf. section Documentation) dans lesquels sont détaillées les analyses des fichiers trouvés sur le serveur de commande-et-contrôle. Avast annonce avoir reconstitué presque entièrement la base de données des attaquants.

Selon eux, pendant la période du 18 août au 15 septembre 2017, les attaquants ont enregistrés 5 686 677 connexions provenant de 1 646 536 machines distinctes. Toutefois, seulement une quarantaine de postes auraient téléchargé et exécuté la charge secondaire.

La disproportion entre le vecteur massif de propagation et le nombre de victimes potentielles renforce le caractère ciblé de l'attaque.
Avast fournit également d'autres indicateurs de compromission :

  • a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15
  • 7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538
  • 4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17
  • b3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e
  • a6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5
  • 216.126.225.163_BAD_ (adresse ip du serveur secondaire de commande-et-contrôle)
  • get.adoble[.]com._BAD_
  • https://github[.]com/search?q=joinlur&type=Users&u=✓._BAD_
  • https://en.search.wordpress[.]com/?src=organic&q=keepost._BAD_
  • ab8cee60c2d[.]com._BAD_
  • ab1145b758c30[.]com._BAD_
  • ab890e964c34[.]com._BAD_
  • ab3d685a0c37[.]com._BAD_
  • ab70a139cc3a[.]com._BAD_
  • ab3c2b0d28ba6[.]com._BAD_
  • ab99c24c0ba9[.]com._BAD_
  • ab2e1b782bad[.]com._BAD_
  • ab253af862bb0[.]com._BAD_
  • ab2d02b02bb3[.]com._BAD_
  • ab1b0eaa24bb6[.]com._BAD_
  • abf09fc5abba[.]com._BAD_
  • abce85a51bbd[.]com._BAD_
  • abccc097dbc0[.]com._BAD_
  • ab33b8aa69bc4[.]com._BAD_
  • ab693f4c0bc7[.]com._BAD_
  • ab23660730bca[.]com._BAD_
None
Impacted products
Vendor Product Description
Microsoft Windows CCleaner v5.33.6162 sur windows
Microsoft Windows CCleaner Cloud v1.07.3191 sur windows
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "CCleaner v5.33.6162 sur windows",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "CCleaner Cloud v1.07.3191 sur windows",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2017-10-09",
  "content": "## Contournement provisoire\n\nDans un billet de blogue (cf, section Documentation), Talos explique le\nfonctionnement de l\u0027attaque. Lorsque CCleaner.exe est ex\u00e9cut\u00e9, la\nportion de code malveillante rajout\u00e9e par les attaquants est \u00e9galement\nlanc\u00e9e. Apr\u00e8s une dizaine de minutes, une tentative de connexion est\neffectu\u00e9e pour tenter de t\u00e9l\u00e9charger et ex\u00e9cuter une porte d\u00e9rob\u00e9e sur\nle poste de l\u0027utilisateur.\n\nAfin de d\u00e9terminer si une machine est infect\u00e9e, il convient de v\u00e9rifier\nles \u00e9l\u00e9ments suivants\u00a0:  \nSi une version affect\u00e9e (cf. section Syst\u00e8mes affect\u00e9s) est install\u00e9e\nsur la machine, la pr\u00e9sence de la cl\u00e9 de registre Windows\nHKLM\\\\SOFTWARE\\\\Piriform peut \u00eatre v\u00e9rifi\u00e9e sur le syst\u00e8me.  \nEn cas de compromission la machine aura communiqu\u00e9 vers l\u0027adresse ip\n216.126.225.148_BAD\\_ ou vers l\u0027un des domaines suivants\u00a0:\n\n-   ab6d54340c1a\\[.\\]com.\\_BAD\\_\n-   aba9a949bc1d\\[.\\]com.\\_BAD\\_\n-   ab2da3d400c20\\[.\\]com.\\_BAD\\_\n-   ab3520430c23\\[.\\]com.\\_BAD\\_\n-   ab1c403220c27\\[.\\]com.\\_BAD\\_\n-   ab1abad1d0c2a\\[.\\]com.\\_BAD\\_\n-   ab8cee60c2d\\[.\\]com.\\_BAD\\_\n-   ab1145b758c30\\[.\\]com.\\_BAD\\_\n-   ab890e964c34\\[.\\]com.\\_BAD\\_\n-   ab3d685a0c37\\[.\\]com.\\_BAD\\_\n-   ab70a139cc3a\\[.\\]com.\\_BAD\\_\n\nSi tel est le cas, la machine doit \u00eatre consid\u00e9r\u00e9e comme potentiellement\ncompromise et restaur\u00e9e \u00e0 un \u00e9tat ant\u00e9rieur au 15 ao\u00fbt 2017, ou de\npr\u00e9f\u00e9rence compl\u00e8tement r\u00e9-imag\u00e9e.\n\nUne autre preuve de compromission est la pr\u00e9sence de la cl\u00e9 de registre\nWindows HKLM\\\\SOFTWARE\\\\Piriform\\\\Agomo.\n\nL\u0027\u00e9diteur Piriform indique ne pas avoir constat\u00e9 une ex\u00e9cution de la\nporte d\u00e9rob\u00e9e et que l\u0027infrastructure de contr\u00f4le du code malveillant a\n\u00e9t\u00e9 d\u00e9mantel\u00e9e.\n\nToutefois, le code malveillant inclus avec CCleaner a \u00e9t\u00e9 sign\u00e9 avec la\ncl\u00e9 priv\u00e9e de l\u0027\u00e9diteur. Cela indique une probable compromission interne\nimpactant leur cha\u00eene de publication. Une confiance faible doit \u00eatre\naccord\u00e9e au certificat utilis\u00e9 par Piriform et tout \u00e9l\u00e9ment sign\u00e9 par\ncelui-ci (sha1\u00a0: f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0).\n\nIl est possible de placer ce dernier dans la liste des certificats non\nautoris\u00e9s de Windows (cf. section Documentation). Cette action n\u0027est pas\nbloquante, l\u0027utilisateur pourra ex\u00e9cuter le programme mais il verra\ns\u0027afficher un message d\u0027alerte.\n\nDe mani\u00e8re plus restrictive, on peut interdire l\u0027utilisation de tout\nprogramme sign\u00e9 avec un certificat jug\u00e9 indigne de confiance avec\nApplocker (cf. section Documentation).\n\nLe 20 septembre 2017, Talos a publi\u00e9 un second billet (cf. section\nDocumentation) d\u00e9taillant l\u0027attaque du point de vue du serveur de\nlivraison de charge. Le code du serveur web r\u00e9cup\u00e9r\u00e9 montre un soucis de\nvalidation des cibles. Cela est renforc\u00e9 par l\u0027analyse des bases de\ndonn\u00e9es : sur les sept-cent-mille machines s\u0027\u00e9tant connect\u00e9es au serveur\nentre le 12 et le 16 septembre 2017, seulement une vingtaine\nd\u0027entre-elles auraient re\u00e7u et vraisemblablement ex\u00e9cut\u00e9 la charge\nsecondaire.\n\nTalos fournit les condensats de cette charge et des fichiers\nmalveillants d\u00e9pos\u00e9s suite \u00e0 son ex\u00e9cution :\n\n-   GeeSetup_x86.dll :\n    dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83\n-   EFACli64.dll :\n    128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f\n-   TSMSISrv.dll :\n    07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902\n-   f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a\n\nLe dernier condensat correspond \u00e0 une porte d\u00e9rob\u00e9e dont l\u0027utilit\u00e9 est\nde r\u00e9cup\u00e9rer d\u0027autres binaires malveillants. Celle-ci est stock\u00e9e dans\nla base de registre de Windows, de mani\u00e8re encod\u00e9e, dans les cl\u00e9s\nsuivantes:\n\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\001\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\002\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\003\n-   HKLM\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\WbemPerf\\\\004\n\nLes 21 et 25 septembre 2017, Avast a publi\u00e9 deux billets (cf. section\nDocumentation) dans lesquels sont d\u00e9taill\u00e9es les analyses des fichiers\ntrouv\u00e9s sur le serveur de commande-et-contr\u00f4le. Avast annonce avoir\nreconstitu\u00e9 presque enti\u00e8rement la base de donn\u00e9es des attaquants.\n\nSelon eux, pendant la p\u00e9riode du 18 ao\u00fbt au 15 septembre 2017, les\nattaquants ont enregistr\u00e9s 5 686 677 connexions provenant de 1 646 536\nmachines distinctes. Toutefois, seulement une quarantaine de postes\nauraient t\u00e9l\u00e9charg\u00e9 et ex\u00e9cut\u00e9 la charge secondaire.\n\nLa disproportion entre le vecteur massif de propagation et le nombre de\nvictimes potentielles renforce le caract\u00e8re cibl\u00e9 de l\u0027attaque.  \nAvast fournit \u00e9galement d\u0027autres indicateurs de compromission :\n\n-   a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15\n-   7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538\n-   4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17\n-   b3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e\n-   a6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5\n-   216.126.225.163_BAD\\_ (adresse ip du serveur secondaire de\n    commande-et-contr\u00f4le)\n-   get.adoble\\[.\\]com.\\_BAD\\_\n-   https://github\\[.\\]com/search?q=joinlur\u0026type=Users\u0026u=\u2713.\\_BAD\\_\n-   https://en.search.wordpress\\[.\\]com/?src=organic\u0026q=keepost.\\_BAD\\_\n-   ab8cee60c2d\\[.\\]com.\\_BAD\\_\n-   ab1145b758c30\\[.\\]com.\\_BAD\\_\n-   ab890e964c34\\[.\\]com.\\_BAD\\_\n-   ab3d685a0c37\\[.\\]com.\\_BAD\\_\n-   ab70a139cc3a\\[.\\]com.\\_BAD\\_\n-   ab3c2b0d28ba6\\[.\\]com.\\_BAD\\_\n-   ab99c24c0ba9\\[.\\]com.\\_BAD\\_\n-   ab2e1b782bad\\[.\\]com.\\_BAD\\_\n-   ab253af862bb0\\[.\\]com.\\_BAD\\_\n-   ab2d02b02bb3\\[.\\]com.\\_BAD\\_\n-   ab1b0eaa24bb6\\[.\\]com.\\_BAD\\_\n-   abf09fc5abba\\[.\\]com.\\_BAD\\_\n-   abce85a51bbd\\[.\\]com.\\_BAD\\_\n-   abccc097dbc0\\[.\\]com.\\_BAD\\_\n-   ab33b8aa69bc4\\[.\\]com.\\_BAD\\_\n-   ab693f4c0bc7\\[.\\]com.\\_BAD\\_\n-   ab23660730bca\\[.\\]com.\\_BAD\\_\n",
  "cves": [],
  "links": [
    {
      "title": "Configurer des racines de confiance et des certificats non autoris\u00e9s",
      "url": "https://technet.microsoft.com/fr-fr/library/dn265983(v=ws.11).aspx"
    },
    {
      "title": "Billet de blogue Morphisec",
      "url": "http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor"
    },
    {
      "title": "Billet de blogue Talos",
      "url": "http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html"
    },
    {
      "title": "Annonce Avast",
      "url": "https://blog.avast.com/update-to-the-ccleaner-5.33.1612-security-incident"
    },
    {
      "title": "Billet de blogue Avast",
      "url": "https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident"
    },
    {
      "title": "Billet de blogue Talos",
      "url": "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"
    },
    {
      "title": "note technique ANSSI Applocker",
      "url": "https://www.ssi.gouv.fr/uploads/2013/12/np_applocker_notetech-v2.pdf"
    },
    {
      "title": "Billet de blogue Avast",
      "url": "https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident"
    },
    {
      "title": "Billet de blogue Intezer",
      "url": "http://www.intezer.com/evidence-aurora-operation-still-active-supply-chain-attack-through-ccleaner/"
    }
  ],
  "reference": "CERTFR-2017-ALE-013",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2017-09-18T00:00:00.000000"
    },
    {
      "description": "ajout de liens et de recommandations sur le bloquage d\u0027applications par certificat.",
      "revision_date": "2017-09-19T00:00:00.000000"
    },
    {
      "description": "ajout de nouveaux liens et indicateurs de compromission.",
      "revision_date": "2017-09-21T00:00:00.000000"
    },
    {
      "description": "ajout de nouveaux liens et indicateurs de compromission.",
      "revision_date": "2017-09-26T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2017-10-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 18 septembre 2017, un repr\u00e9sentant de \u003cspan class=\"textit\"\u003ePiriform\nCCleaner\u003c/span\u003e a annonc\u00e9 que depuis le 15 ao\u00fbt 2017, CCleaner et\nCCleaner Cloud contenaient une portion de code malveillant permettant de\nt\u00e9l\u00e9charger une porte d\u00e9rob\u00e9e sur le poste des utilisateurs.\n",
  "title": "Pr\u00e9sence de code malveillant dans Piriform CCleaner",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Piriform du 18 septembre 2017",
      "url": "http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.