Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보CCleaner에 숨겨진 Floxif 악성코드
작성일 2017-09-29 조회 1139

 

개요

 

백신회사로 유명한 Avast에서 인수한 회사의 제품에서 백도어가 발견되었다. 해당 제품은 Piriform사의 CCleaner 프로그램으로 PC성능 최적화에 도움을 주는 유틸리티이다. CCleaner는 현재까지 누적 다운로드수가 20억건이 넘을 만큼 대중화 된 제품이지만 최근 1개월 동안 백도어가 심겨진 버전이 배포가 되었다.

<그림 1 - CCleaner 실행화면>

 

확인내역

 

CCleaner에 포함 된 악성코드는 Floxif로 시스템에 대한 정보를 수집하여 C2서버로 전달하는 형태이다.
또한 해당 악성 코드에는 탐지를 피하기 위한 단계가 포함되어 있는데 사용자에게 관리자 권한이 없는 경우 실행이 종료된다.

 

아래 <그림 2 >는 Windows 레지스트리 키 HKLMSOFTWAREPiriformAgomo에 특정 정보를 저장하는 부분이다.

 

-MUID : 특정 시스템을 식별하는 임의로 생성 된 번호이며 통신 암호화 키로 사용.
-TCID : 특정 동작 (통신 등)을 수행할지 여부를 확인하는 데 사용되는 타이머 값.
-NID : 보조 CnC 서버의 IP 주소.

<그림 2 - 저장되는 레지스트리 키>

 

그 외에도 로컬 시스템에 대한 다음 정보를 수집한다.

 

-컴퓨터 이름
-Windows 업데이트를 포함하여 설치된 소프트웨어 목록
-실행중인 프로세스 목록
-네트워크 어댑터 MAC 주소
-프로세스가 관리자 권한으로 실행되는지 여부, 64 비트 시스템인지 여부 등등

수집 된 모든 정보는 암호화되어 base64로 인코딩되며 C2서버로 전달한다.

 

대응방안

아래 패턴으로 대응 가능

[3729] Win32/Trojan.CCleaner.7680216
[3730] Win32/Trojan.CCleaner.7781592

 

참고

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
http://www.boannews.com/media/view.asp?idx=57067&page=1&kind=1
http://thehackernews.com/2017/09/ccleaner-hacked-malware.html
https://www.bleepingcomputer.com/news/security/ccleaner-compromised-to-distribute-malware-for-almost-a-month/
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

http://securityaffairs.co/wordpress/63148/breaking-news/ccleaner-supply-chain-malware.html
https://www.hackread.com/ccleaner-malware-full-list-companies-affected/

 

첨부파일 첨부파일이 없습니다.
태그 Avast  CCleaner  Piriform