CCleaner攻击时间表，黑客如何感染230万台个人电脑

该恶意软件攻击感染了230多万用户，这些用户在去年8月至9月期间从官网下载或更新了CCleaner应用程序的后门版本。

现在，事实证明，黑客们设法在五个月前渗透到公司的网络中，然后他们在第一次取代官方的CCuffer-Buffic版本，在星期二的旧金山RSA安全会议上展示了AVAST执行副总裁和CTO OnDRJ VLCEK。

CCleaner供应链攻击的6个月时间表

Vlcek分享了去年事件的简要时间表，该事件后来成为该公司最可怕的噩梦，详细介绍了未知黑客如何以及何时入侵了Piriform，该公司创建了CCleaner，并于2017年7月被Avast收购。

March 11, 2017 (5 AM local time)，攻击者首先使用远程支持软件TeamViewer访问了一名CCleaner开发人员的无人值守工作站，该工作站连接到梨形网络。

该公司认为，攻击者再次使用从之前的数据泄露中获得的开发人员凭据来访问TeamViewer帐户，并在第三次尝试时使用VBScript安装了恶意软件。

March 12, 2017 (4 AM local time)，攻击者使用第一台计算机，侵入连接到同一网络的第二台无人值守计算机，并通过Windows RDP（远程桌面服务）协议打开后门。
通过使用RDP访问，攻击者丢弃了一个二进制文件和一个恶意负载，第二阶段的恶意软件（旧版本），后来被交付给40名清洁用户，在目标计算机的注册表上。

March 14, 2017，攻击者还用第二阶段的旧版本恶意软件感染了第一台计算机。

April 4, 2017，攻击者编译了一个定制版本的ShadowPad，这是一个臭名昭著的后门，允许攻击者下载更多恶意模块或窃取数据，该公司认为该负载是CCleaner攻击的第三阶段。

April 12, 2017，几天后，攻击者在梨形网络（作为mscoree.dll库）和构建服务器（作为.NET运行时库）中的四台计算机上安装了第三阶段有效负载。

四月中旬到七月之间，在此期间，攻击者准备了恶意版本的CCleaner，并试图通过在已经受损的系统上安装键盘记录器来窃取凭据，并通过RDP以管理权限登录，从而渗透内部网络中的其他计算机。

July 18, 2017，安全公司Avast收购了Piriform，这家总部位于英国的软件开发公司是CCleaner的幕后推手，下载量超过20亿次。

August 2, 2017，攻击者将其官方网站上的CCleaner软件的原始版本替换为其后门版本的CCleaner，该版本已分发给数百万用户。

September 13, 2017，Cisco Talos的研究人员检测到该软件的恶意版本，并立即通知了Avast。该软件在该公司的官方网站上发布了一个多月。

恶意版本的CCleaner有一个多级恶意软件负载，旨在从受感染的计算机窃取数据，并将其发送回攻击者控制的命令和控制服务器。

虽然Avast在FBI的帮助下，在接到事件通知后三天内关闭了攻击者的命令和控制服务器，但恶意的CCleaner软件已经被227万用户下载。

此外，调查发现，攻击者随后能够在由主要国际科技公司运营的40台选定计算机上安装第二阶段有效载荷，这些公司包括谷歌、微软、思科、英特尔、三星、索尼、HTC、Linksys、D-Link、Akamai和VMware。

然而，该公司没有证据证明是否将带有ShadowPad的第三级有效载荷分配给了这些目标中的任何一个。

“我们的调查显示，ShadowPad以前曾在韩国和俄罗斯使用过，攻击者侵入了一台计算机，观察到一笔汇款。”阿瓦斯特说。

“俄罗斯攻击中使用的最古老的恶意可执行文件建于2014年，这意味着它背后的组织可能多年来一直在从事间谍活动”。

根据他们对梨形网络中ShadowPad可执行文件的分析，Avast认为恶意软件背后的恶意攻击者已经活跃了很长时间，对机构和组织进行了彻底的监视。