[ALERTE CERT] CCleaner : des millions de machines infectés

Alexandre Bolle Reddat Alerte CERT

Une vulnérabilité a été identifiée très récemment par Talos Group (Cisco), dans l’outil Piriform CCleaner:

Le 13 septembre 2017, Cisco Talos a identifié à travers son système avancé de protection contre les logiciels malveillants, l’installateur CCleaner v5.33.

« La version légitime signée de CCleaner 5.33 distribuée par Avast contenait également une charge utile de logiciels malveillants à plusieurs étages qui s’ajoutaient à l’installation de CCleaner »

« CCleaner se vantait de plus de 2 milliards de téléchargements totaux en novembre 2016 avec un taux de croissance de 5 millions d’utilisateurs supplémentaires par semaine »

Le CERT-Devoteam recommande:

•D’effectuer une analyse antivirus

•D’utiliser les outils anti-malware tels que Malwares Bytes ou Advanced Malware Protection avant d’exécuter l’installateur CCleaner

• Mettre à jour CCleaner en version 5.34 ou le désinstaller en attente de clarifications

PRODUIT AFFECTE

CCleaner 5.33 (La version contenant la charge utile malveillante (5.33) était distribuée du 15/08 au 12/09)

DETAILS TECHNIQUES

CCleaner aide l’utilisateur à analyser et à nettoyer l’environnement système. Il peut également optimiser les performances et gérer les applications installées.

https://2.bp.blogspot.com/-qi4FSpRozUc/Wb8VCqNIdUI/AAAAAAAAAXQ/1TRYybdmkkUbrd428EfrM3d4NSG_DGQ0QCLcBGAs/s640/image7.png

Le programme d’installation utilisait une signature numérique valide délivré à Piriform et hébergé sur le serveur de téléchargement de CCleaner. La version 32 bits comprenait une charge utile malveillante qui peut être divisée en deux parties:

– La fonctionnalité Command & Control (C2)

– L’algorithme de génération de domaine (DGA)

Les algorithmes de génération de domaine (DGA) sont des algorithmes rencontrés dans différentes familles de logiciels malveillants qui sont utilisés pour générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de Command & Control.

Lorsque CCleaner est exécuté, il exécute la DLL CBkrdr.dll puis remet l’IMAGE_DOS_HEADER à zéro afin d’échapper à la détection.

https://4.bp.blogspot.com/-X9-_9SiuBP0/Wb8WQexo8ZI/AAAAAAAAAXo/SBbA7V2Z9isGCELtbm_tPtpDB51CES-9wCLcBGAs/s640/image3.png

Le logiciel malveillant attend 601 secondes puis vérifie si l’utilisateur a les droits d’administrateur pour déployer et stocker en mémoire le C2.

Si le C2 ne renvoie pas une réponse à la requête HTTP POST, il utilisera l’Algorithme DGA pour effectuer une requête DNS afin de définir une nouvelle adresse IP de Command & Control.

https://4.bp.blogspot.com/-GOYL8CfAQLo/Wb8WmLtqcEI/AAAAAAAAAXs/Zacg_DmAPh8FL-bHuMTMr1iFDySTicqxwCLcBGAs/s1600/image1.png

Le déploiement de CCleaner est assez énorme et a probablement conduit à un déploiement massif de C2.

Source: http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html