CCleaner, 악성코드 배포하도록 해킹 돼; 사용자들 230만 이상 감염 돼

Warning: CCleaner Hacked to Distribute Malware; Over 2.3 Million Users Infected

만약 8/15 ~ 9/12 사이에 CCleaner 어플리케이션을 공식 웹사이트에서 다운로드 했거나 업데이트 했다면, 당신의 컴퓨터는 해킹 되었을 수 있습니다.

CCleaner는 Piriform이 만들고 최근 Avast가 인수한, 20억회 이상이나 다운로드 된 인기있는 프로그램입니다. 이 프로그램을 통해 시스템을 정리해 성능을 최적화 하고 향상시킬 수 있습니다.

하지만 최근 연구원들은 사용자들이 프로그램을 다운로드 할 수 있게 하기 위해 Avast가 사용하던 다운로드 서버가 해킹 당했으며, 공격자들이 소프트웨어의 오리지널 버전을 악성 버전으로 바꿔치기 해 1달 사이에 수 백만명의 사용자들에 이를 배포했다고 밝혔습니다.

이 사건은 공급망 공격 사건의 또 다른 사례가 되었습니다. 

올해 초, 우크라이나 회사인 MeDoc의 업데이트 서버가 해킹 되어 Petya 랜섬웨어를 배포해 전 세계적으로 큰 혼란을 겪었습니다. (▶ 참고)

Avast와 Piriform은 윈도우 32버전의 CCleaner v5.336162와 CCleaner Cloud v1.07.3191이 악성코드에 감염 된 사실을 확인했습니다.

지난 9월 13일 발견 된 CCleaner의 악성 버전은 감염 된 컴퓨터로부터 데이터를 훔치고 공격자의 원격 C&C 서버로 전송하는 다단계 악성코드 페이로드를 포함하고 있었습니다.

<이미지 출처 : http://thehackernews.com/2017/09/ccleaner-hacked-malware.html>

게다가, 이 해커들은 Symantec에서 Piriform에 발행한 유효한 디지털 서명을 사용해 악성 설치파일(v.533)에 서명했으며, Domain Generation Algoritm(DGA)를 사용해 공격자의 서버가 다운 되더라도 DGA가 새로운 도메인을 생성해 훔친 정보를 받아 보낼 수 있도록 했습니다.

Piriform은 “수집 된 모든 정보는 암호화 되었으며 커스텀 알파벳 base64로 인코딩 되었습니다. 암호화 된 정보는 외부 IP 주소인 216.126.x.x(이 주소는 페이로드에 하드코딩 되어있음)에 HTTP POST 요청을 통해 등록 됩니다.”고 밝혔습니다.

이 악성 소프트웨어는 아래를 포함한 다수의 사용자 데이터를 수집하도록 프로그래밍 되었습니다.

컴퓨터 이름

Windows 업데이트를 포함한 설치 된 소프트웨어들

실행 중인 프로세스들의 전체 목록

IP 및 MAC 주소

프로세스가 관리자 권한으로 실행 중인지, 64비트 시스템인지 등과 같은 추가 정보

PC에서 악성코드를 제거 하는 법

연구원들에 따르면, 매주 약 500만명의 사람들이 CCleaner를 다운로드 하므로 2천만명 이상의 사용자들이 이 악성 프로그램에 감염되었을 가능성이 있습니다.

하지만 Piriform은 전체 유저들 중 최대 3%(약 227만명)이 이 악성 버전에 영향을 받았을 거라 추정했습니다.

사용자들은 CCleaner 소프트웨어를 버전 5.34 또는 이상 버전으로 업데이트 해 문제를 해결할 수 있습니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.CChack.A로 탐지중에 있습니다. 

참고 : 

http://thehackernews.com/2017/09/ccleaner-hacked-malware.html

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html