20171011
Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users
【外部リンク】
http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
Monday, September 18, 2017
Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users
We recently determined that older versions of our Piriform CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 had been compromised. We estimate that 2.27 million people used the affected software. We resolved this quickly and believe no harm was done to any of our users.
【外部リンク】
https://gblogs.cisco.com/jp/2017/10/talos-ccleaner-c2-concern/
左側:2bc2dee73f9f854fe1e0e409e1257369d9c0a1081cf5fb503264aa1bfe8aa06f(CCBkdr.dll)
右側:0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2(Missl backdoor – APT17/Group 72)
侵入の痕跡(IOC)
今回の攻撃に関連する侵入痕跡を以下に示します。
CC 上のインストーラ:dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83(GeeSetup_x86.dll)
トロイの木馬化された 64 ビットバイナリ:128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f(EFACli64.dll)
トロイの木馬化された 32 ビット バイナリ:07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902(TSMSISrv.dll)
レジストリ内の DLL:f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
レジストリ キー:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
ステージ 2 のペイロード(SHA256):
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
【外部リンク】
https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident
【外部リンク】
https://community.norton.com/en/forums/detection-update-request-4-files-1-certificate
【外部リンク】
https://forum.piriform.com/index.php?showtopic=48869&page=7
GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Stage 2 Payload: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
【外部リンク】
https://community.norton.com/ja/user/10471931/activity-log
人気の投稿
-
世界の株価 https://sekai-kabuka.com/ 不具合 メンテ中 つながらない 代替えサイトへのリンク 世界の株価 https://sekai-kabuka.com/ 【外部リンク】 https://nikkei225jp.com/ 世界の株価と日経平均...
-
Windows Update / Microsoft Update の接続先 URL について 【外部リンク】 https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/ Windows Update...
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://www.playstation.com/ja-jp/support/hardware/psvita-problem-reading-disc/ PlayStationVita / Pla... -
【外部リンク】 https://faq.gmo-pg.com/service/Search.aspx?noLog=1 エラーコード/ 【G12】42G120000 エラーについて 管理画面/ パスワード再発行機能について 本システム返却エラーコード(E系) エ...