1. 威客安全首页
  2. 安全资讯

杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner


前言


捷克知名杀软公司AVAST(爱维士),2017年收购了CCleaner母公司Piriform

杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner

2017年9月18日,著名的系统优化工具CCleaner的某个版本被发现植入后门,巧合的是那一天刚好正在两家公司业务交接。


杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner


正文


两年后,2019年9月23日,AVAST在其公司网络中发现了可疑行为,并立即发起调查,并且还与捷克情报机构,安全信息服务(BIS),捷克地方警察网络安全部门以及外部法证团队合作,以提供其他工具来协助调查工作并验证收集的证据。


而收集的证据指向2019年10月1日在MS ATA/VPN上的活动,分析人员在分析MS ATA告警时,发现告警是从属于AVAST公司VPN地址范围的内部IP,触发恶意复制目录服务从而导致告警。


黑鸟注释:MS ATA = Microsoft Advanced Threat Analytics 微软高级威胁分析,可见关键时刻上的还是微软父亲的产品。

杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner


然后该告警最初被视为误报,可想而知,黑鸟认为不要怀疑每一个内网的告警,毕竟像这么大的一家安全公司,使用自家的安全防护设备,在判断误报行为都会出错,何况不是生产安全防护设备的公司。





而该被窃取的用户凭据显然已受到攻击,并可以与该内部IP相关联,但是该账号并没有域管理员权限。但是,在提权成功后,攻击者是可以设法获得域管理员权限的。


而内网IP连接外网的IP是通过英国以外的公共IP建立的,并且攻击者还通过与该公司使用同一个VPN提供商来搭建外联IP作为跳板。


在分析外部IP时,他们发现攻击者早在2019年5月14日就试图通过他们的VPN来访问网络。


经过进一步分析,他们发现内部网络已通过临时VPN配置文件成功使用凭据进行访问该配置文件错误地保持启用状态,并且不需要二次认证。


10月4日,他们再次观察到了这一活动。MS ATA标记的可疑活动的时间戳为(所有时间均为GMT + 2):

2019年5月14日凌晨2:00

2019年5月15日4:36

2019年5月15日晚上11:06

2019年7月24日下午3:35

2019年7月24日下午3:45

2019年9月11日下午3:20

2019年10月4日上午11:57


日志进一步显示,临时配置文件已被多组用户凭据使用,分析人员认为登陆VPN的用户的凭据因此均被盗窃。


为了跟踪攻击者,他们一直打开临时VPN配置文件,继续监视和调查通过该配置文件进行的所有访问,直到他们准备采取补救措施为止。


黑鸟认为这个钓鱼执法实际上是正确的,防止打草惊蛇。


在确认开始补救后,由于此前CCleaner就被人入侵并植入后门,因此他们仍认为本次攻击者目标仍然是CCleaner,因此为了阻止供应链攻击的发生,他们在9月25日,停止了即将发布的CCleaner版本,并开始检查以前的CCleaner版本,确认没有进行任何恶意更改。


紧接着,他们重新签名了该产品的以保证完整更新,并于10月15日通过自动更新将其发布给用户,其次,他们吊销了以前的证书。


上面这套流程,对于在防止供应链攻击可以起到一点作用。


最后,为了稳住用户的心,AVAST公布了自己被入侵的事实,并且详细说明自己公司的补救措施,这点比一些公司被入侵了还藏着捂着(没错我就是在说Teamviewer)要好太多。


总结来说,公司的所有入口都要排查安全性,特别是这种居然还留有VPN临时配置文件可被使用的情况尤其注意。



从黑鸟小号转载,有需要赶紧过去冲鸭!

杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner

▲扫码关注,感激老铁


点个赞,每日一个威胁情报故事

杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner

原文始发于微信公众号(黑鸟):杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X