포스팅 내용

국내외 보안동향

CCleaner, 악성코드 배포하도록 해킹 돼; 사용자들 230만 이상 감염 돼

Warning: CCleaner Hacked to Distribute Malware; Over 2.3 Million Users Infected


만약 8/15 ~ 9/12 사이에 CCleaner 어플리케이션을 공식 웹사이트에서 다운로드 했거나 업데이트 했다면, 당신의 컴퓨터는 해킹 되었을 수 있습니다.


CCleaner는 Piriform이 만들고 최근 Avast가 인수한, 20억회 이상이나 다운로드 된 인기있는 프로그램입니다. 이 프로그램을 통해 시스템을 정리해 성능을 최적화 하고 향상시킬 수 있습니다.


하지만 최근 연구원들은 사용자들이 프로그램을 다운로드 할 수 있게 하기 위해 Avast가 사용하던 다운로드 서버가 해킹 당했으며, 공격자들이 소프트웨어의 오리지널 버전을 악성 버전으로 바꿔치기 해 1달 사이에 수 백만명의 사용자들에 이를 배포했다고 밝혔습니다.


이 사건은 공급망 공격 사건의 또 다른 사례가 되었습니다. 


올해 초, 우크라이나 회사인 MeDoc의 업데이트 서버가 해킹 되어 Petya 랜섬웨어를 배포해 전 세계적으로 큰 혼란을 겪었습니다. (참고)


Avast와 Piriform은 윈도우 32버전의 CCleaner v5.336162와 CCleaner Cloud v1.07.3191이 악성코드에 감염 된 사실을 확인했습니다.


지난 9월 13일 발견 된 CCleaner의 악성 버전은 감염 된 컴퓨터로부터 데이터를 훔치고 공격자의 원격 C&C 서버로 전송하는 다단계 악성코드 페이로드를 포함하고 있었습니다.


<이미지 출처 : http://thehackernews.com/2017/09/ccleaner-hacked-malware.html>


게다가, 이 해커들은 Symantec에서 Piriform에 발행한 유효한 디지털 서명을 사용해 악성 설치파일(v.533)에 서명했으며, Domain Generation Algoritm(DGA)를 사용해 공격자의 서버가 다운 되더라도 DGA가 새로운 도메인을 생성해 훔친 정보를 받아 보낼 수 있도록 했습니다.


Piriform은 “수집 된 모든 정보는 암호화 되었으며 커스텀 알파벳 base64로 인코딩 되었습니다. 암호화 된 정보는 외부 IP 주소인 216.126.x.x(이 주소는 페이로드에 하드코딩 되어있음)에 HTTP POST 요청을 통해 등록 됩니다.”고 밝혔습니다.


이 악성 소프트웨어는 아래를 포함한 다수의 사용자 데이터를 수집하도록 프로그래밍 되었습니다.


컴퓨터 이름

Windows 업데이트를 포함한 설치 된 소프트웨어들

실행 중인 프로세스들의 전체 목록

IP 및 MAC 주소

프로세스가 관리자 권한으로 실행 중인지, 64비트 시스템인지 등과 같은 추가 정보


PC에서 악성코드를 제거 하는 법


연구원들에 따르면, 매주 약 500만명의 사람들이 CCleaner를 다운로드 하므로 2천만명 이상의 사용자들이 이 악성 프로그램에 감염되었을 가능성이 있습니다.


하지만 Piriform은 전체 유저들 중 최대 3%(약 227만명)이 이 악성 버전에 영향을 받았을 거라 추정했습니다.


사용자들은 CCleaner 소프트웨어를 버전 5.34 또는 이상 버전으로 업데이트 해 문제를 해결할 수 있습니다. 


현재 알약에서는 해당 악성코드에 대하여 Trojan.CChack.A로 탐지중에 있습니다. 




참고 : 

http://thehackernews.com/2017/09/ccleaner-hacked-malware.html

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html




  1. 씨클이 2017.09.19 22:26  수정/삭제  댓글쓰기

    IE 추가기능에 삭제했던 프로그램의 찌꺼기가 있어서 지울려고 용을 써도 안되서 최적화 프로그램의 도움을 받으려고 엊그제 잠깐 깔아서 최적화하고 바로 지웠었는데.. 버전 확인을 하지는 못햇지만 기사 뜨기전이니 제 정보도 가져갔을거 같군요.. ;;

    씨클이,네이버,다음클리너 다 써봐도 분명 찌거기가 남아 있는데
    최적화프로그램에는 이름이 안떠서 레지스트리로 일일히 찾기하여 겨우 지웠어요.ㅠ

    • 알약(Alyac) 2017.09.20 10:26 신고  수정/삭제

      씨클이님 안녕하세요. 일일이 지우시느라
      힘드셨겠어요 ㅠㅠ 알약에서도 최적화 기능을 제공하니 한번 사용해 보시기 바랍니다. 감사합니다.

  2. 2017.09.19 22:29  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2017.09.20 10:34 신고  수정/삭제

      안녕하세요. 알약입니다. 데일리시큐의 기사는 알약 블로그(http://blog.alyac.co.kr/1323)를 참고하여 작성된 점 참고 부탁드립니다.

      우선, Bashware 공격이 성공하려면 다음과 같은 조건이 선행되어야 합니다.
      1) 관리자 권한 탈취
      2) Subsystem for Linux 혹은 WSL기능 활성화(기본적으로 비활성화)
      그렇기 때문에, 실제로 해당 공격이 실행되기 전에 백신쪽에서 차단되는 경우가 많습니다.

      또한 저희가 참고한 해외 뉴스기사에는 pico API가 공개되었다고 언급되어 있으나, 실제 pico process를 감시하는데 사용되는 일부 notify callback은 이번 가을에 배포될 fall creators update에서 공식적으로 제공될 예정입니다. 또한 공식적으로 pico API가 제공되면 이스트시큐리티에서도 즉시 알약에 적용할 예정인점 참고부탁드립니다.

      감사합니다.

  3. 질문 2017.09.20 09:34  수정/삭제  댓글쓰기

    해당 악성코드를 알약에서 탐지하거나 제거하는 패턴이 적용되어 있나요 ?

    • 알약(Alyac) 2017.09.20 10:35 신고  수정/삭제

      안녕하세요 알약입니다. 현재 알약에서는 해당 악성코드에 대하여 Trojan.CChack.A로 탐지중에 있습니다. 감사합니다.

티스토리 방명록 작성
name password homepage