信息來源：FreeBuf

概述

2017年9月18日，有情報披露，著名的系統(tǒng)優(yōu)化工具CCleaner的某個版本被發(fā)現(xiàn)植入后門，大量使用該工具的用戶恐將面臨泄密風險。這是繼Xshell后門事件后，又一起嚴重的軟件供應鏈來源攻擊事件。  

CCleaner是一款免費的系統(tǒng)優(yōu)化和隱私保護工具。主要用來清除Windows系統(tǒng)不再使用的垃圾文件，以騰出更多硬盤空間，并且還具有清除上網(wǎng)記錄等功能。被植入后門的版本為8月15日上線的5.33版本。  

目前我們發(fā)現(xiàn)部分國內下載站點仍在分發(fā)存在后門的版本。金睛安全研究團隊在此提醒廣大使用該工具的用戶，及時卸載有問題的版本，避免隱私泄露的風險。

影響版本

CCleaner  5.33.6162

事件分析 

出現(xiàn)問題的版本是在 2017 年 8 月 15 日發(fā)布的，直到9月11日才從官方服務器上移除。由于該版本使用了有效的數(shù)字簽名，因此截止到目前為止大多數(shù)安全廠商仍無法檢測。

CCleaner總共擁有20億次下載量，且每周的下載量超過500萬，從發(fā)布日期到移除日期，可以估算該版本已經(jīng)有將近2000萬次數(shù)的下載量，這意味著有大量用戶可能已經(jīng)受到感染。  

后門代碼分析  

1、在存在問題版本軟件的0x0082E0A8偏移處存放著加密的shellcode。

2、首先通過如下代碼進行解密shellcode。

3、shellcode執(zhí)行后，加載需要使用的動態(tài)庫，獲取需要用到的函數(shù)地址。動態(tài)庫名稱及函數(shù)名稱都做了加密處理。

4、啟動一個線程執(zhí)行主要操作。線程啟動時，首先嘗試ping224.0.0.0，并設置超時601秒，之后檢測經(jīng)過的時長是否大于等于600秒。如果小于則自動退出。如果無法執(zhí)行Ping操作，則使用sleep函數(shù)執(zhí)行上述相同操作。

5、如果上述時間檢查都通過，則進入以下流程。檢查是否有管理員權限，如果沒有則提升至Debug權限。

6、解密C&C服務器IP。

7、根據(jù)DGA域名算法隨機生成隨機域名。

DGA域名和時間對應關系如下：

8、獲取計算機名稱，MAC地址，系統(tǒng)版本信息，軟件安裝信息，進程信息等并填入下列結構中。

對應發(fā)送的數(shù)據(jù)如下： 

然后將以上信息經(jīng)過兩次加密發(fā)送給C&C服務器216.126.225.148 

第一次加密：

第二次加密（經(jīng)過修改的Base64算法）：

最后將上述加密后的數(shù)據(jù)發(fā)送給C&C服務器

如果上述IP地址不可達，則將上述信息發(fā)送給DGA域名。  

下列為已知暴露在外網(wǎng)當中的帶有后門的版本

IOC信息：

解決方案  

及時卸載有問題的5.33版本，并去官網(wǎng)下載最新5.34版本（下載地址）