문제가 되는 버전

CCleaner v5.33.6162 – 윈도우 32비트 버전

CCleaner Cloud 1.07.3191 – 윈도우 32비트 버전

 

이슈 발생일: 2017 9 12

 

요약

 Piriform 社는 2017 9 12CCleaner 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고, 관련 분석을 통해 CCleaner 제품이 인터넷에 공개되기 전에 무단 변조된 사실을 파악하였습니다. 또한, 사법 당국과 접촉하여 관련 문제 해결을 위해 공조한 바 있습니다.

 

하지만, 기술적인 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어를 할 수 없는 상황으로 파악되었습니다. , 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소된 것입니다.

 

Piriform 社는 CCleaner PC용 제품은 최신 버전으로 업데이트하고, 클라우드 버전은 자동 업데이트 알림을 받게 되어 최신 버전으로 업데이트하도록 준비한 상황입니다.

 

기술 분석

CCleaner.exe 바이너리에 무단 변조된 부분은 두 단계로 구성된 백도어로 먼저 원격의 특정 IP로부터 실행코드를 다운로드하게 됩니다.

 

프로그램의 코드화 코드(, Common RunTime, CRT)에 숨겨진 코드에는 다음과 같이 호출함수가 포함되어 있는데 그 부분이 다른 함수로 변조되어 있었습니다.

 

 

 

애플리케이션의 메인코드가 실행되기 전에 무단 변조된 코드는 다음 기능을 수행합니다.

 

l  하드코딩된 쉘코드( 10KB 크기)를 암호 및 패킹 해제(보통 XOR 연산 이용)

l  그 결과 MZ 헤더가 없는 DLL 파일 생성(16KB 크기)

l  DLL이 로드되고, 독립적인 쓰레드로 실행

l  이후, 정상적인 CRT 코드가 실행되고, CCleaner 프로그램을 실행(그 결과 백그라운드로 DLL 파일의 쓰레드가 실행됨)

 

아래 그림은 원래의 CRT 코드와 변조된 페이로로, 쓰레드 내에서 실행되는 코드는 분석을 어렵게 하기 위해서 문자열, indirect IP 호출 함수 등을 난독화하였습니다.

 

 

페이로드 이후 실행되는 기능은 다음과 같습니다.

l  레지스트리 HKLM\Software\Piriform\Agomo 아래 다음의 정보를 저장

n  MUID: 시스템을 식별하기 위해 생성된 난수값. 통신용 암호화키로 사용될 것으로 추정됨

n  TCID: 통신 등 특정 동작을 수행할지 여부를 결정하기 위해 확인용도로 사용되는 타이머 값

n  NID: 예비 CnC 서버의 IP 주소

 

l  로컬 시스템에서 수집하는 정보는 다음과 같습니다.

n  컴퓨터 이름

n  윈도우 업데이트 목록을 포함한 설치된 소프트웨어 목록

n  실행하는 프로세스 목록

n  네트워크 어댑터 중에서 처음 3MAC 주소

n  관리자 권한으로 실행되는 프로세스, 64비트 시스템 등에 대한 추가 정보

 

l  수집된 정보들은 특정 알파벳을 이용하여 암호화되고, BASE64로 인코딩됨

l  인코딩된 정보는 216.126.x.x(이 주소는 페이로드에 하드코딩됨) 주소로 HTTPS POST 명령어를 통해 전송함. 요청을 전송한 호스트는 가짜 주소인 “Host:speccy.piriform.com”을 이용함.

l  앞서 언급한 IP주소에서 두번째 페이로드를 다운로드하고 이 또한 XOR 방식으로 암호화, BASE64로 인코딩되어 있음. 다만, 두번째 페이로드를 실행여부는 확인하지 못함.

l  IP 주소에 접속할 수 없을 경우에는 DGA(Domain name generator)의 형태의 백업 주소가 활성화되고 다른 곳에 있는 서버로 통신을 시도함. 다행이 생성된 도메인은 공격자의 권한 밖이어서 위험에 노출되지 않음

 

현 시점에서 공격이 얼마나 준비해서 어디서 시작되었는지, 배후가 누구인지 추정할 수 없으며, 추가적인 분석을 진행하고 있습니다. 분석에 도움을 준 어베스트 위협 연구소에 감사의 말씀을 전합니다.

 

보안 사고로 대해 다시 한번 사과의 말씀을 드립니다. 유사한 사건의 재발을 미연에 방지하고, Piriform 제품을 사용하는 고객의 안전을 보장하기 위해 내부적으로 세부적인 보안 정책을 구축하고 있습니다. 클라우드 버전을 사용하는 고객은 자동 업데이트 알림을 받게 됩니다. 그외 사용자들은 이미 통지가 되었겠지만, 최신 버전인 5.34 이상 버전을 설치해 주시기 바랍니다. 최신 버전은 아래 링크에서 다운로드받을 수 있습니다.

 

CCleaner 최신버전 다운로드: https://www.piriform.com/ccleaner/download/standard

 

고맙습니다.

 

Paul Yung

VP Products

 

출처: https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 문스랩닷컴