Avast公司公布了CCleaner第二階段惡意軟件影響企業(yè)的完整清單，而這項工作正是上周發(fā)生的CCleaner攻擊活動持續(xù)調(diào)查的重要組成部分。

Avast公司之所以能夠整理出這份受影響企業(yè)的完整清單，是因為其成功在上周末發(fā)現(xiàn)了攻擊者使用的第二臺服務(wù)器。

上周五，Avast公司發(fā)布了關(guān)于CCleaner黑客攻擊活動的調(diào)查更新結(jié)果，并表示其已經(jīng)掌握了CCleaner惡意軟件發(fā)送受感染主機信息時所使用的服務(wù)器數(shù)據(jù)庫。但遺憾的是，該服務(wù)器數(shù)據(jù)庫當(dāng)中所包含的信息僅囊括今年9月12日至9月16日期間的受感染用戶。Avast方面指出，由于存儲容量不足，該容納受感染用戶信息的數(shù)據(jù)庫于9月10日發(fā)生崩潰。

黑客們于9月12日安裝了一臺新服務(wù)器，Avast公司則在執(zhí)法機構(gòu)的幫助之下于9月15日將其發(fā)現(xiàn)。這臺主服務(wù)器的IP地址為 216.126.x.x（我們在這里特意隱去了最后兩部分）。

Avast方面表示在經(jīng)過進一步挖掘之后，他們找到了第二臺被用于進行原始數(shù)據(jù)庫備份的服務(wù)器，且其中存儲的內(nèi)容源自起始到重新安裝主服務(wù)器這一時間范圍。

Avast公司指出，這第二臺服務(wù)器的IP地址為216.126.x.x，與第一臺服務(wù)器擁有同樣的托管服務(wù)商。該托管服務(wù)商ServerCrate公司向Avast提供了與第二臺服務(wù)器相關(guān)的信息及支持。因此，調(diào)查人員們現(xiàn)在掌握了一份受CCleaner惡意軟件影響的各主機的完整清單包括第一與第二階段（但不包括該服務(wù)器遭遇中斷的40小時時間窗口）。

黑客方面于今年7月入侵CCleaner基礎(chǔ)設(shè)施，并在8月15日到9月12日之間致使CCleaner官方網(wǎng)站交付已受惡意軟件感染的應(yīng)用版本。Avast公司指出，在這一時間段，全球共有227萬用戶下載該CCleaner應(yīng)用的惡意版本。

而根據(jù)兩套C&C服務(wù)器數(shù)據(jù)庫中提供的數(shù)據(jù)，即報告回該C&C服務(wù)器的次數(shù)，Avast方面斷言Floxif第一階段惡意軟件的感染計算機總量為164萬6536臺。

惡意攻擊的第二階段，一款輕量級后門負責(zé)“從github.com或者wordpress.com搜索相關(guān)數(shù)據(jù)當(dāng)中檢索一條IP”，并進一步在目標(biāo)系統(tǒng)上下載更多惡意軟件。

上周，Avast與思科雙方指出，僅有20臺計算機受到第二階段惡意軟件影響。經(jīng)過嚴格的過濾，Avast公司又發(fā)現(xiàn)另外20臺受到第二階段影響的設(shè)備。也就是說這些C&C服務(wù)器總共僅向160萬臺受感染計算機當(dāng)中的40臺發(fā)送了第二階段惡意軟件（輕量級后門）。

而Avast公司在今天發(fā)布的表格中透露了各企業(yè)受到感染的情況，具體如下所示：

根據(jù)以上表格，大多數(shù)受感染主機——總計13臺計算機——位于中國臺灣地區(qū)的互聯(lián)網(wǎng)服務(wù)供應(yīng)商中華電信的網(wǎng)絡(luò)上。占比位列第二的是日本IT廠商NEC公司，感染計算機數(shù)量為10臺；而三星公司被感染的設(shè)備數(shù)量為5臺。

華碩、富士通以及索尼公司各有兩臺計算機感染了第二階段惡意載荷，而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特爾以及VMware公司處各發(fā)現(xiàn)了一臺受感染計算機。

以上表格僅列出了成功感染案例。事實上，該C&C服務(wù)器被用于對特定網(wǎng)絡(luò)進行過濾，從而有針對性地對目標(biāo)進行感染。

上周檢獲的服務(wù)器過濾規(guī)則所針對的企業(yè)包括谷歌、微軟、HTC、三星、英特爾、索尼、VMware、O2、沃達豐、Linksys、愛普生、微星、Akamai、DLink、甲骨文（Dyn）、Gauselmann以及Singtel等。

來自備份服務(wù)器的過濾規(guī)則顯示，在今年9月10日之前，攻擊者們還曾經(jīng)使用一份有所區(qū)別的攻擊目標(biāo)清單，其中包含HTC、Linksys、愛普生、沃達豐、微軟、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。

研究人員們指出，以上過濾條件僅為備份時的版本。而在今年8月15日到9月10日之間，攻擊者們很可能曾將矛頭指向其它企業(yè)。

另外，Avast公司確認其發(fā)現(xiàn)相關(guān)證據(jù)，能夠?qū)⒐舴脚c中國聯(lián)系起來?？ò退够c思科也曾在上周發(fā)布類似的觀點，暗示稱此輪攻擊可能與Axiom（ APT17）有所關(guān)聯(lián)。

具體線索則包括在C&C服務(wù)器上發(fā)現(xiàn)的PHP代碼、myPhpAdmin日志以及與以往Axiom惡意軟件類似的特定代碼片段等等。

Avast公司同時指出，在對兩臺服務(wù)器上的登錄記錄進行全面分析之后，發(fā)現(xiàn)登錄活動模式符合俄羅斯東部、中國以及印度時區(qū)的作息時間。

但盡管如此，歸因工作仍然難度極大。Avast公司解釋稱，“這一切跡象的核心難題在于，相關(guān)證據(jù)都極易進行偽造。因此，攻擊者可能打算借此提升調(diào)查工作難度，從而隱藏真正的攻擊源頭。”

時間線

隨著新信息的出現(xiàn)，以下是最新事件時間表。

7月3日 攻擊者入侵Piriform基礎(chǔ)設(shè)施。

7月19日 Avast公司宣布收購Piriform，即CCleaner背后的開發(fā)商。

7月31日, 06:32 攻擊者安裝C&C服務(wù)器。

8月11日，07:36 攻擊者啟動數(shù)據(jù)收集規(guī)程的籌備工作，旨在為8月15日的CCleaner二進制代碼感染與隨后的CCleaner Cloud二進制代碼感染作好準(zhǔn)備。

8月15日 Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.

8月20日到21日 Morphisec公司的安全產(chǎn)品檢測并阻止首例CCleaner惡意活動實例，但卻未能發(fā)現(xiàn)這起活動重要內(nèi)幕。

8月24日 Piriform公司發(fā)布CCLeaner Cloud v1.07.3191，其中同樣包含有Floxif木馬。

9月10日 20:59 C&C服務(wù)器存儲空間不足，因此數(shù)據(jù)收集亦告停止。攻擊者對原始數(shù)據(jù)庫進行了備份。

9月 11日 Morphisec公司客戶與該公司工程師們共享了與CCleaner相關(guān)的惡意活動日志細節(jié)。

9月12日 07:56 攻擊者擦除C&C服務(wù)器。

9月 12 日08:02 攻擊者重新安裝C&C服務(wù)器。

9月12日 Morphisec公司向Avast與思科通報了CCleaner的可疑活動。Avast方面立即開始調(diào)查，并向美國執(zhí)行機構(gòu)發(fā)出通告。思科公司也很快組織起自己的調(diào)查工作。

9月14日 思科公司向Avast公布其調(diào)查結(jié)果。

9月15日 當(dāng)局發(fā)現(xiàn)C&C服務(wù)器。

9月15日 Avast公司發(fā)布CCleaner 5.34與CCleaner Cloud 1.07.3214兩套清潔版本。

9月18日 CCleaner事件伴隨著思科、Morphisec以及Avast/Piriform報告的發(fā)布而正式公開。

9月（具體未知） ServerCrate公司為Avast提供一套備份服務(wù)器副本。

Avast公司還在其最新報告當(dāng)中發(fā)布了一份IOC（入侵指標(biāo)）修訂清單。各位系統(tǒng)管理員可以利用這些IOC搜索，了解自身網(wǎng)絡(luò)的感染狀況。