CCleaner 해킹은 전 세계 수백만 대의 컴퓨터에 영향을 미쳤습니다.
Piriform의 CCleaner는 전 세계 수십억(수백만이 아닌!) 사용자가 신뢰하는 최고의 PC 최적화 소프트웨어입니다. 흠 잡을 데 없는 평판을 가진 완전히 합법적인 시스템 유지 관리 도구입니다. 안타깝게도 이 회사는 최근 매우 불쾌한 일과 공개적으로 알려진 "공급망 공격"을 경험했습니다.
해커가 회사 서버를 손상시켜 합법적인 PC 버전에 맬웨어를 주입한 것으로 보입니다. 227만 대 이상의 컴퓨터에 악성 구성 요소를 성공적으로 배치한 최적화 도구 세계적인.
2017년 9월 18일 Piriform의 부사장인 Paul Yung은 문제가 되는 블로그 게시물에서 해킹을 발표했습니다. 부사장은 사과하고 해커가 CCleaner 5.33.6162 및 CCleaner Cloud 버전 1.07.3191을 손상시켰다고 말했습니다. 이러한 버전은 사용자 컴퓨터에 백도어를 설정하기 위해 불법적으로 수정된 것으로 보입니다.
회사는 백도어와 통신하던 서버를 다운시키는 조치를 취했습니다. PC 최적화 소프트웨어(Nyetya 또는 Floxif Trojan으로 알려짐)에 삽입된 맬웨어가 컴퓨터 이름, 목록을 전송할 수 있는 것으로 보입니다. 설치된 소프트웨어 또는 Windows 업데이트, 실행 중인 프로세스, 처음 3개 네트워크 어댑터의 MAC 주소 및 원격 컴퓨터에 대한 더 많은 데이터 섬기는 사람.
맬웨어는 손상된 시스템에서 데이터를 수집합니다.
처음에 전문가들은 1단계 페이로드만 발견했습니다. 분석가에 따르면 CCleaner 5.33 바이러스는 여러 유형의 데이터를 자체 데이터베이스로 전송할 수 있었으며, 피해자의 IP 주소, 온라인 시간, 호스트 이름, 도메인 이름, 활성 프로세스 목록, 설치된 프로그램 및 더 나아가. Talos Intelligence Group의 전문가에 따르면 "이 정보는 공격자가 나중 단계 페이로드를 시작하는 데 필요한 모든 것입니다."
그러나 조금 후에 맬웨어 분석가는 씨클리너 바이러스' 기능을 사용하여 두 번째 단계 페이로드를 다운로드합니다.
두 번째 페이로드는 거대 기술 회사만을 대상으로 하는 것 같습니다. 대상을 탐지하기 위해 맬웨어는 다음과 같은 도메인 목록을 사용합니다.
- Htcgroup.corp;
- Am.sony.com;
- 시스코닷컴;
- 링크시스;
- 테스트닷컴;
- Dlink.com;
- Ntdev.corp.microsoft.com.
도메인의 축약된 목록임을 기억하십시오. 연구원들은 Command & Control 데이터베이스에 액세스한 후 서버에 응답한 최소 700,000대의 컴퓨터와 2단계 멀웨어에 감염된 20대 이상의 시스템을 발견했습니다. 2단계 페이로드는 해커가 기술 회사의 시스템에 더 깊은 발판을 마련할 수 있도록 설계되었습니다.
CCleaner 멀웨어를 제거하고 개인 정보를 보호하세요
Piriform에 따르면 해커들은 CCleaner 5.33 버전이 출시되기 전에 수정하는 데 성공했습니다. 5.33 버전은 2017년 8월 15일에 출시되었습니다. 즉, 그날부터 범죄자들이 시스템을 감염시키기 시작했습니다. 보도에 따르면 배포는 9월 15일에만 중단되었습니다.
일부 전문가는 CCleaner를 5.34 버전으로 업데이트할 것을 권장하지만 시스템에서 백도어를 근절하는 데 충분하지 않을 수 있습니다. 2-스파이웨어 전문가는 컴퓨터를 8월 15일 이전 상태로 복원하고 맬웨어 방지 프로그램을 실행할 것을 권장합니다. 또한 계정을 보호하기 위해 안전한 장치(예: 휴대폰 또는 다른 컴퓨터)를 사용하여 모든 비밀번호를 변경하는 것이 좋습니다.