20171011
Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users
【外部リンク】
http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
Monday, September 18, 2017
Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users
We recently determined that older versions of our Piriform CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 had been compromised. We estimate that 2.27 million people used the affected software. We resolved this quickly and believe no harm was done to any of our users.
【外部リンク】
https://gblogs.cisco.com/jp/2017/10/talos-ccleaner-c2-concern/
左側:2bc2dee73f9f854fe1e0e409e1257369d9c0a1081cf5fb503264aa1bfe8aa06f(CCBkdr.dll)
右側:0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2(Missl backdoor – APT17/Group 72)
侵入の痕跡(IOC)
今回の攻撃に関連する侵入痕跡を以下に示します。
CC 上のインストーラ:dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83(GeeSetup_x86.dll)
トロイの木馬化された 64 ビットバイナリ:128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f(EFACli64.dll)
トロイの木馬化された 32 ビット バイナリ:07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902(TSMSISrv.dll)
レジストリ内の DLL:f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
レジストリ キー:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
ステージ 2 のペイロード(SHA256):
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
【外部リンク】
https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident
【外部リンク】
https://community.norton.com/en/forums/detection-update-request-4-files-1-certificate
【外部リンク】
https://forum.piriform.com/index.php?showtopic=48869&page=7
GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Stage 2 Payload: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
【外部リンク】
https://community.norton.com/ja/user/10471931/activity-log
人気の投稿
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://www.playstation.com/ja-jp/support/hardware/psvita-problem-reading-disc/ PlayStationVita / Pla... -
Account is not paid. (2,015) 【外部リンク】 https://support.zoom.us/hc/ja ズームヘルプセンター ステムダイアログが表示したら、Zoom Meetingsを開くをクリックしてくださいを実行してください。 Z...
-
au ID セッションタイムアウトになりました。再度接続してください。(CCAE0003) ※何度も、このエラーが表示される場合は、ご利用のブラウザでCookieを受け入れる設定に変更を行ってください。 【外部リンク】 https://id.auone.jp/age/... -
【外部リンク】 https://discussionsjapan.apple.com/thread/10179313 このメッセージはサーバからダウンロードされていません このメッセージはサーバからダウンロードされていません。 機種変更 この サーバ から ダウンロー...