Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。

研究显示，CCleaner 黑客用于存储受感染主机数据的数据库空间不足，因此在 9 月 12 日将该数据库删除。这意味着受害者信息现在已经丢失、无法追查，且感染第二阶段后门 payload 的计算机数量可能比最初预估的更大。

CCleaner 后门可以收集用户信息并将其发送给受攻击者控制的服务器，该服务器已经在 9 月 15 日关闭。整个后门事件中，在 8 月 15 日至 9 月 12 日期间下载受感染的 CCleaner 的用户共达 272 万。

CCleaner 事件简要总结

CCleaner 是一款免费的系统优化和隐私保护工具。主要用来清除 Windows 系统不再使用的垃圾文件，以腾出更多硬盘空间，并且还具有清除上网记录等功能。7 月初，CCleaner 就遭到了攻击，那时候 Avast 还没有收购 CCleaner 的制造商 Piriform。当时，黑客设法入侵了公司的系统，并修改了 32 位 CCleaner 5.33.6162 版本和 CCleaner Cloud v1.07.3191 版本，分别植入了后门。这个后门的完整感染过程分为三个阶段：

第一阶段的恶意 payload 仅在 32 位平台上执行，收集受感染 PC 的数据，并将收集到的详细信息发送到远程C＆C服务器。服务器将把这些信息存储在一个 MariaDB（MySQL fork）中，并且会在每个受感染的主机上运行一系列过滤器，以确定是否发送第二阶段的 payload（一个非常隐蔽的后门木马）。

根据 Cisco Talos 的分析，C＆C 服务器可以在大型科技公司的网络中寻找计算机并进行感染。研究人员回收的列表显示，Google，Microsoft，HTC，Samsung，Intel，Sony，VMWare，O2，Vodafone，Linksys，Epson，MSI，Akamai，DLink，Oracle（Dyn），Gauselmann 和 Singtel 等公司都是 C&C 服务的搜索目标。

第二阶段的 payload 需要连接到另一个 C＆C 服务器，发送受感染机器上的信息，并从服务器检索和执行附加代码。此外，还使用 GeeSetup_x86.dll 安装程序，可以根据受感染系统的不同架构而获取不同的恶意软件。植入的恶意软件被保存到注册表中，同时可以巧妙地提取注册表、装载程序并运行。

在 x64 系统上，攻击者通过向保护代码、避免缓冲区溢出的函数 __security_init_cookie 添加几个指令，来修改 C 运行时间（CRT）。他们添加的指令可以使 _pRawDllMain 函数指针链接到提取隐藏注册表 payload loader 的特定函数上。

研究表明，第二阶段的 payload 中还包含一个死亡开关（kill switch），只会在系统感染之后触发。具体来说，在执行时，该 payload 会检查 ％TEMP％\ spf 文件是否存在，如果文件存在，则终止执行。此外，第二阶段的 payload 还可以通过 GitHub 页面、WordPress 托管页面，或通过读取未命名域名的 DNS 记录来检索 C＆C IP 地址。在调查期间，Avast 发现 GitHub 和 WordPress 页面已经不存在，且未命名的域名也没有注册 IP 地址。因此，这个 payload 不可能与第二个 C＆C 通信，也不可能发送第三阶段的 payload。

攻击者的数据库记录了感染第一、第二阶段恶意 payload 的所有计算机信息。其中感染了第一阶段恶意 payload 的计算机有 70 万台，而感染第二阶段恶意 payload 的计算机只有20个。

第三阶段的 payload 也可能与攻击有关，但目前尚未有更详细的信息。

查获 C＆C 服务器，恢复数据、日志

安全公司上周检测到被植入后门的 CCleaner 可执行文件后，立刻就联系了 Avast。 Avast 配合执法部门查获了收集用户数据的服务器。服务器查获后，Cisco Talos 和 Avast 先后发布了数据分析，发现了一些新的细节。

从服务器日志中提取出来的新信息表明，攻击者将后门植入到 CCleaner 的前几天，这个服务器就已经设置好了。不过，时刻也指出，尽管服务器已经上线了一个多月，但数据库中只包含 9 月 12 日至 9 月 16 日间活跃的感染信息，而且没有任何其他信息。

Avast 进一步表示，在对日志进行更深入的分析之后，发现服务器的磁盘内存已满，因此攻击者不得不删除之前记录的数据（当然，在删除之前，攻击者很可能已经将这些数据下载备份了）。

基于 Avast 的日志分析，可以得出以下时间表：

7月31日06:32 攻击者安装服务器；

8月11日07:36 攻击者启动数据采集程序，准备在 8 月 15 日 入侵 CCleaner、修改 CCleaner 二进制文件和 CCleaner 云二进制文件；

9月10日20:59 服务器空间不足，停止数据收集；

9月12日07:56 攻击者删除数据库；

9月12日08:02 攻击者重新安装数据库；

9月16日 当局查获 C＆C 服务器和相邻数据库。

由于黑客删除了数据库，自 8  月 15 日到 9 月 12 日这 28 天的感染数据均已丢失。现在还无法确定其他科技公司的网络上是否还存在后门。

因此，任何一个使用或部署了 CCleaner 的公司现在都必须清除系统，确保第二阶段的恶意 payload 不会隐藏在其网络上的某个地方。

不幸的是，这个服务器磁盘容量有限、比较低端，否则（在服务器关机前的5天），如果整个数据库从初始发布日期起就完好无损，我们就能通过分析数据而更清楚地了解到真正受到后门影响的受害者。