...

Ccleaner contaminé

Démarré par Goupilop, 18 Septembre 2017 à 19:34:39

« précédent - suivant »

Goupilop

Bonjour,
Information supplémentaire concernant la contamination de CCleaner v5.3

Pendant une certaine période, la version légitime signée de CCleaner 5.33 distribuée par Avast contenait également une charge utile de logiciels malveillants.
Nous avons identifié que, bien que l'exécutable d'installation téléchargé ait été signé à l'aide d'une signature numérique valide émise à Piriform

Le 13 septembre 2017, lors de la réalisation de tests bêta clients de notre nouvelle technologie de détection d'exploits, Cisco Talos a identifié un exécutable spécifique qui déclenchait nos systèmes avancés de protection contre les logiciels malveillants. Lors d'une inspection plus approfondie, l'exécutable en question était le programme d'installation de CCleaner v5.33, qui était livré aux points d'extrémité par les serveurs de téléchargement CCleaner légitimes. Talos a commencé l'analyse initiale pour déterminer ce qui causait cette technologie pour signaler CCleaner. Nous avons identifié que, bien que l'exécutable d'installation téléchargé ait été signé à l'aide d'une signature numérique valide émise à Piriform, CCleaner n'était pas la seule application fournie avec le téléchargement. Lors de l'installation de CCleaner 5.33, le binaire CCleaner 32 bits inclus comprenait également une charge utile malveillante qui présentait un algorithme de génération de domaine (DGA) ainsi que des fonctionnalités de commande et de contrôle (C2) codées en dur. Nous avons confirmé que cette version malveillante de CCleaner était hébergée directement sur le serveur de téléchargement de CCleaner depuis le 11 septembre 2017.

En examinant la page Historique des versions sur le site de téléchargement CCleaner, il apparaît que la version affectée (5.33) a été publiée le 15 août 2017. Le 12 septembre 2017, la version 5.34 a été publiée. La version contenant la charge utile malveillante (5.33) était distribuée entre ces dates. Cette version a été signée en utilisant un certificat valide délivré à Piriform Ltd par Symantec et valable jusqu'au 10/10/2018. Piriform était la société que Avast a récemment acquise et était la société d'origine qui a développé l'application de logiciel CCleaner.

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-013/CERTFR-2017-ALE-013.html



maximus23

Bonjour,

Oui j'ai vu c'est paru en long et en large dans la presse ce matin.

Tu désinfectes ton PC tu choppes un virus tout fou l'can..... encore un truc de fou.

>:(
Amitiés et à Bientôt.
Have a Nice Day.

Goupilop

19 Septembre 2017 à 12:18:37 #3 Dernière édition: 19 Septembre 2017 à 12:22:02 par Goupilop »
Bonjour Max,
Sur mon PC de test Windows 10 Pro x86 (32bits) Windows  Defender à bloqué le Malware, WFC également depuis son installation (pare feu)
Je possède sur ce PC WFC (Windows Firewall Control) qui interdit (paramétrage pare feu) à CCleaner d'envoyer des informations à l'extérieur.
Ci-dessous plus d'infos concernant le malware en question
-------------------------------------
Catégorie : Porte dérobée

Description : Ce programme fournit un accès à distance à l'ordinateur sur lequel il est installé.

Action recommandée : Supprimer immédiatement ce logiciel.

Éléments :
taskscheduler:C:\WINDOWS\System32\Tasks\CCleanerSkipUAC
file:C:\Program Files\CCleaner\CCleaner.exe
file:C:\WINDOWS\System32\Tasks\CCleanerSkipUAC
uninstall:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\CCleaner
regkey:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DCE4767-2B66-466F-B3D1-6F1EBE9F939E}
regkey:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleanerSkipUAC
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\CCleaner

Obtenez plus d'informations sur cet élément en ligne.

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Backdoor%3aWin32%2fFloxif&threatid=2147723494&enterprise=0

La porte dérobée ne touchant que les systèmes x86 (32 bits)
Sur mon PC de test, WFC étant installé bloque les sorties correspondantes à CCleaner (toujours) donc pas de soucis de mon côté (puisque les données ne peuvent pas sortir donc pas de transmissions aux pirates)
De ce fait cela démontre qu'un Firewall & un Antivirus sont la meilleure des protections le plus étant étant une défense proactive ou HIPS
------------------------
Mais bon, pas bonne publicité pour Avast qui détient depuis peu la société Piriform concepteur de CClenear

Goupilop


Dans le cas d'une machine infectée par CCleaner, la clé de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
Est créée
Donc à vérifié dans l'éditeur de registre, au cas ou la supprimée



alexetgus

Putain mais qu'est-ce que c'est que ce bordel encore ?! Certaines boites se foutent vraiment de la gueule du monde ! >:(

Bon ça va, je ne suis pas concerné, mais je vais chercher une alternative à CCLeaner.
On se fout de ma gueule une fois, pas deux ! >:(

maximus23

Comme je suis en 64 Bits je devrais être épargné mais je vais quand même vérifier par acquis de conscience.

:)
Amitiés et à Bientôt.
Have a Nice Day.

alexetgus

Je crois bien que c'est ça qui m'a sauvé aussi.
Mais c'est quand même dégueulasse ! >:(

Goupilop

Bonjour,
Toujours sur le même sujet:

Les chercheurs de Cisco Talos Intelligence ont découvert un deuxième malware dans la version corrompue de CCleaner. En plus de la mise à jour du logiciel, ils recommandent de restaurer votre PC.
Comme une deuxième couche à l'intérieur. Le deuxième étage d'une fusée particulièrement vicieuse. En début de semaine, des chercheurs en sécurité de Cisco Talos Intelligence révélaient que le très populaire logiciel de « nettoyage » de PC, CCleaner, embarquait une porte dérobée depuis la mi-août. Le code malveillant semblait avoir été placé là après une intrusion sur le réseau de Piriform, éditeur du logiciel. Une mise à jour vers une version a priori saine et plus récente était fortement recommandée.
Aujourd'hui, ces mêmes chercheurs publient un nouveau document qui contient le fruit de leur enquête en cours. Mauvaise surprise, il n'y avait pas une mais deux « charges » malveillantes dans CCleaner. Si Piriform encourage vivement les utilisateurs de son programme à réaliser une nouvelle mise à jour, les conseils des chercheurs de Talos Intelligence vont un peu plus loin que cela.
Revenir en arrière, d'urgence

« Ceux qui sont touchés par cette attaque ne doivent pas simplement supprimer la version affectée de CCleaner ou la mettre à jour pour la dernière version », expliquent-ils. Pourquoi ? Parce qu'après un premier, puis un deuxième étage, la descente aux Enfers pourraient continuer. De fait, les ordinateurs contaminés le sont peut-être par plus de deux malwares désormais.
Les utilisateurs de CCleaner concernés « doivent procéder à une restauration depuis une sauvegarde ou une image système pour s'assurer d'avoir complètement retiré non seulement la version de CCleaner contenant la porte dérobée mais également tout autre malware qui pourrait résider sur le système ».

Autrement dit, le message est clair, il va falloir remonter dans le temps, avant le 15 août et avant que vous ayez installé la mise à jour corrompue (v 5.33 et suivantes). Si on prend en compte les chiffres fournis par Pirifom, CCleaner enregistre cinq millions d'installations par semaine. On peut donc estimer qu'environ 30 millions de versions corrompues ont été installées. Des précautions s'imposent donc.
Pour la seule période du 12 au 16 septembre, la base de données du centre de commande du malware principal indiquait qu'un peu plus de 700 000 machines contaminées s'y étaient connectées pour prendre leurs ordres. En revanche, seulement une grosse vingtaine de PC auraient reçu le deuxième malware, toujours au cours de cette période.

Quelques indices de contamination
Pour les plus inquiets d'entre vous, il est possible de trouver des indices qui vous permettront de savoir si votre machine est contaminée. Tout d'abord, des clés de registre sont ajoutées par le cheval de Troie de la deuxième charge.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.
GeeSetup_x86.dl
EFACli64.dll (le cheval de Troie en version 64 bit)
TSMSISrv.dll (le cheval de Troie en version 32 bit)
DLL dans le Registre :
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Deuxième charge :
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

Si ces éléments figurent sur votre machine, il ne vous reste plus qu'à rétablir une sauvegarde ou une image de votre système d'exploitation établie à une date antérieure au 15 août dernier.

date antérieure au 15 août dernier.

Une toute autre ampleur
La seconde charge découverte a également révélé que le malware vise des sociétés bien précises, afin de leur voler des données sensibles, selon toute logique. On trouve ainsi les noms de Cisco, Microsoft, Samsung, HTC ou encore Sony. Mais cette liste aurait évolué au fil du temps et de la vie de ce malware, avance Talos Intelligence, qui précise que plusieurs centaines de machines dépendant de noms de domaine gouvernementaux ont également été prises pour cible.

Ces nouvelles informations inquiètent davantage encore les chercheurs en sécurité, car elles désignent un acteur « possiblement inconnu » mais doté de ressources importantes. S'agit-il d'un groupe de hackers soutenu par un Etat ou par un gros industriel ? Talos Intelligence ne le dit pas. Tout juste est-il précisé dans sa communication qu'un des fichiers retrouvés sur les serveurs du centre de commande du malware fait référence au fuseau horaire de la République populaire de Chine.

Les ingénieurs prennent bien garde de préciser aussitôt que cela ne peut pas suffire à attribuer cette attaque à des hackers chinois. Evidemment.

Le fait que la signature d'un programme soit usurpé cela complique beaucoup la sécurité  :(

alexetgus

Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.

Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.

A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.

Goupilop


Citation de: alexetgus le 22 Septembre 2017 à 10:21:53
Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.

Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.

A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.



C'est pour ça qu'ils ont changée la signature sur la dernière monture  ;D

Goupilop

Citation de: Goupilop le 22 Septembre 2017 à 11:26:48

Citation de: alexetgus le 22 Septembre 2017 à 10:21:53
Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.

Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.

A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.



C'est pour ça qu'ils ont changée la signature sur la dernière monture  ;D

Release notes
v5.35.6210 (20 Sep 2017)
- All builds signed with new Digital Signatures