Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

【外部リンク】 http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users Monday, September 18, 2017 Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users We recently determined that older versions of our Piriform CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 had been compromised. We estimate that 2.27 million people used the affected software. We resolved this quickly and believe no harm was done to any of our users. 【外部リンク】 https://gblogs.cisco.com/jp/2017/10/talos-ccleaner-c2-concern/ 左側：2bc2dee73f9f854fe1e0e409e1257369d9c0a1081cf5fb503264aa1bfe8aa06f（CCBkdr.dll） 右側：0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2（Missl backdoor – APT17/Group 72） 侵入の痕跡（IOC） 今回の攻撃に関連する侵入痕跡を以下に示します。 CC 上のインストーラ：dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83（GeeSetup_x86.dll） トロイの木馬化された 64 ビットバイナリ：128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f（EFACli64.dll） トロイの木馬化された 32 ビット バイナリ：07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902（TSMSISrv.dll） レジストリ内の DLL：f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a レジストリ キー： HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP ステージ 2 のペイロード（SHA256）： dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 【外部リンク】 https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident 【外部リンク】 https://community.norton.com/en/forums/detection-update-request-4-files-1-certificate 【外部リンク】 https://forum.piriform.com/index.php?showtopic=48869&page=7 GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83) EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f ) TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 ) DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a Stage 2 Payload: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 【外部リンク】 https://community.norton.com/ja/user/10471931/activity-log