Szerző: Gálffy Csaba

2017. szeptember 20. 09:30:00

Könnyen nagy baj lehetett volna a CCleaner-fertőzésből

Újra egy kis fejlesztőcsapaton keresztül talált utat malware felhasználók millióihoz. A Petya után most újra a fejlesztői infrastruktúrát tudták támadók rávenni fertőzött frissítés kiadására, amely rengeteg gépen nyitott backdoort.

Ez hajszálon múlt - nagyjából ez a legújabb masszív biztonsági incidens konklúziója. Támadóknak sikerült átvenni az irányítást a rendkívül népszerű CCleaner fejlesztői infrastruktúrája fölött és kibocsátani egy hivatalosnak látszó, de malware-t tartalmazó verziót. A támadást szerencsére sikerült időben észrevenni, mielőtt a backdoort hordozó szoftvereket sikerült volna aktiválni, így a masszív fertőzési hullámra nem került sor.

Beszállítókon keresztül a gépre

A Talos által vizsgált CCleaner bináris rendelkezett a Piriform aláírásával, ebből következtet a cég arra, hogy a fejlesztő rendszerét valószínűleg komoly támadás érte, nem csak a frissítéseket kiszolgáló szervert, hanem a fejlesztői infrastruktúrát is irányításuk alá hajtották a támadók, ennek segítségével tudták aláírni a módosított telepítőt. Hogy ez pontosan hogyan történhetett, arra várhatóan csak a Piriform/Avast saját elemzése tud majd választ adni - elképzelhető, hogy egy fejlesztő fiókját tudták a támadók feltörni, de az sem lehetetlen, hogy közvetlenül a szerverekhez fértek hozzá. Emiatt persze jelenleg az sem zárható ki, hogy egy belsős (alkalmazott) támadó a hunyó.

A támadás az úgynevezett "supply chain attack" formátumot követi. Ez nem friss koncepció, ilyen támadásra már korábban is volt példa, annyit jelent, hogy nem közvetlenül a célpont, hanem annak egy beszállítója, vagy a beszállítói lánc egyik eleme az áldozat. Ahogy korábban a Petya támadásban érintett MEDoc, a Piriform is kimondottan kis (londoni) fejlesztőcég, LinkedInen mindössze 42 alkalmazottal, nagy részük pedig nem is technikai munkakört tölt be. Ezzel a cég igen vonzó és igen gyenge láncszem: a (LinkedIn szerint) 42 főt foglalkoztató cég szoftverfejlesztésre és -marketingre specializálódik, miközben felhasználók millióinál fut a szoftvere - a támadással ők mind sebezhető célpontokká váltak.

Míg a MEDoc esetében a tulajdonképpeni áldozatok az Ukrajnában üzletelő cégek voltak, jelen esetben sokkal szélesebb a merítés, néhány szervezet mellett leginkább végfelhasználók kerültek veszélybe. Számukra a supply chain attack még sokkal veszélyesebb, ők nem is álmodhatnak arról, hogy valahogyan auditálják a beszállítók fejlesztői infrastruktúráját - gyakorlatilag vakon meg kell bízniuk a fejlesztőkben, hogy tudnak vigyázni rendszereikre. És ahogy a fenti két példa is mutatja: ez nem igazán indokolt bizalom.

Szofisztikált detektálás-elkerülés

Szakembereknek mindenképp érdemes a Talos bejegyzését fellapozni, a csapat meglehetősen jól feltérképezte a malware viselkedését. A lényeges elemek közé tartozik, hogy a mechanizmus nagyon ügyesen igyekezett elkerülni a felfedezést és a saját nyomait is nagyon aktívan takarította még a memóriából is. A sandbox-alapú szimulátoros védelmi megoldások ellen például 10 perces várakozással védekezett, ezen idő alatt semmit nem végzett a malware - nagyjából ennyi idő alatt az ilyen védelem már feladja.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben gyakorlatorientált, 10 alkalmas, 30 órás online képzéseket indít.

A rejtőzködés nagyon hatékonyra sikerült: az augusztus 15-én publikált fertőzött binárist négy hétig semmilyen biztonsági megoldás nem detektálta, annak ellenére, hogy felhasználók millióinál futott a backdoor és várta a parancsot. Ez nagyjából mindent elmond a modern vírusirtók hatékonyságáról olyan környezetben, amikor ismeretlen malware-t kellene proaktív módon, heurisztikával megfogni.

Sikeres megelőzés

A Cisco Umbrella rendszeréből begyűjtött adatok alapján úgy tűnik az Avast még idejében lépett, a támadást sikerült még a kiépítés fázisában elfogni és ártalmatlanná tenni. A fertőzött, felhasználóknál telepített CCleanerrel a malware is a számítógépekre került, ez azonban nem volt önmagában ártalmas, csupán backdoort nyitott, amelyen keresztül gyakorlatilag tetszőleges támadó kódot (például ransomware-t) küldhettek volna le a számítógépekre.

Az Avast egyébként azt állítja, hogy a támadásról nem a Ciscótól szereztek tudomást, hanem egy Mophisec nevű biztonsági csapat tett bejelentést, és ugyanez a csapat értesítette a Ciscót is. A bejelentést követően az Avast blogbejegyzése szerint az incidenst sikerült 72 órán belül teljesen lezárni, úgy, hogy a Ccleaner-felhasználókat kár nem érte (legalábbis a cég tudomása szerint). És ha már serleget kell osztani hősiességért, azért jár a Ciscónak is, a cég a malware-ben okosan (generátor mögé) elrejtett parancsszerverek doménneveit gyorsan regisztrálta, az Avast pedig a hatóságokkal együttműködve az egyik szerver lekapcsolását tudta elérni. A dupla akcióval a támadó elvesztette a kapcsolatát a malware felé, ezzel pedig biztonságba kerültek a felhasználók.

Pilátus a krédóba

Az egész történet legnagyobb áldozata valószínűleg az Avast. A népszerű cseh vírusirtó fejlesztője 2017. július 18-án vásárolta fel a Ccleanert fejlesztő Piriform céget - jelen állás szerint ekkor már javában dolgozhattak a támadók a cég rendszereinek feltörésén, ami július 3-án járt sikerrel a belső naplófájlok szerint. Ekkor a csehek még a felvásárlást követő integráció legelején voltak, így értelemszerűen a Piriform szervereit és fejlesztői infrastruktúráját sem felügyelték még.

Az Avast azt is igyekszik pontosítani, hogy mekkora lehet az érintett felhasználók száma. A legtöbb híradás a Piriform egy korábbi kommunikációját használta fel, ebben a cég 2 milliárd letöltésről beszélt (története során összesen), amit heti 5 millió letöltés növel. Az Avast közlése szerint a támadás a 32 bites és a felhős kiadást érintette, a fertőzést tartalmazó verziót mintegy 2,27 millió különböző ügyfél telepítette.

Az eltelt időszakban a cég igyekezett proaktívan frissíteni az új, immár fertőzésmentes verzióra ezeket a telepítéseket, így jelen pillanatban mintegy 730 ezer felhasználó futtatja a problémás, 5.33.6162-es verziót. Veszélyben egyébként ők sincsenek, a parancs-szerverek kiiktatásával a malware nem aktiválható szerencsére. Némi probémát okoz, hogy az ingyenes CCleaner nem tartalmaz automatikus frissítési opciót, így a szoftvert manuálisan kell a felhasználónak eltávolítania vagy frissítenie. Az Avast szerint ez egyébként önmagában meg is oldja a problémát, a malware a rendszereken kizárólag a ccleaner.exe részeként van jelen, annak frissítésével vagy eltávolításával el is tűnik - így komolyabb erőfeszítésre, újratelepítésre vagy a rendszer visszaállítására nincs szükség.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról