» »

CCleaner mesec dni stregel malware

1
2
»

SeMiNeSanja ::

MrStein je izjavil:

Hočeš reči 3/4 vseh AV zganja lažni alarm na tem fajlu?

Nisem rekel. Nočem reči.

Kar sem rekel je to, da isti filename še ne pomeni isti file.
Bistvena je hash vrednost datoteke - če je ta enaka, potem se z zelo visoko verjetnostjo gre za enako datoteko, medtem ko ti samo ime datoteke še nič ne pomeni. Tudi če je velikost enaka, to tudi še ne pomeni, da se gre za enaki datoteki. Ena je lahko clean, druga pa zlonamerna.

MrStein ::

A si sploh pogledal link? ;)
Seveda je isti hash.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Ko so raziskovalci Cisco Talos odkrili prvi primer CCleanerja


Tu je njihov blog kjer pišejo o zadevi:
http://blog.talosintelligence.com/2017/...

Se tudi vidi, da je takrat zadevo zaznal le ClamAV.

Torej brišem Avast in nameščam ClamaAV as we speak. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Niti ni za izključiti, da ni ClamAV v bistvu zagnal false alarm, vendar pa se je pri raziskovanju pokazalo, da nekaj pa vendarle ni čisto košer.

Nismo bili poleg, da bi vedeli. Vsekakor ClamAV ne slovi ravno kot nek high-end AV. Poleg tega na Windows deluje zgolj 'on demand', ne pa da ti bo v ozadju sproti preverjal vsako datoteko, ki se je dotakneš. Jaz ga imam kot secondary add-on, da kakšno sumljivo datoteko preverim še z njim in v praksi se mi še ni zgodilo, da bi našel kaj takega, kar mi ni že MS pojamral, da bi znalo biti problematično - prej obratno, da je trdil, da zadeva ni problematična, kjer drug AV trdi, da je.

Zgodovina sprememb…

Mr.B ::

No prva opcija je samo primenovati datoteko na pricakovano okuzeno verzijo. Ce sprozi alarm, menjaj av.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

MrStein ::

SeMiNeSanja je izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

No, drugim ta AI, hevristika, sandbox, behavior analysis itd... niso preveč pomagali, kaj?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

SeMiNeSanja je izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

No, drugim ta AI, hevristika, sandbox, behavior analysis itd... niso preveč pomagali, kaj?

You are missing the point.

Po tem, kar je do zdaj znanega, ta del, ki si ga je nameščalo miljone uporabnikov, sam po sebi ni 'vseboval' kaj dosti več, kot komunikacijo z nadzornim centrom.
Tisti dejansko 'grdi' del se je na računalnike baje prenesel le v primeru, da se računalnik nahaja v eni od domen, katere so si izbrali za eksplicitne tarče.

Problem pa je, da CCleaner po naravi predstavlja software, ki a) ima možnost komunikacije izven omrežja in b) prenaša z interneta določene dodatke (oz. nadgradnje). Izključno z analizo njegove kode s strani nekega AV-ja, tako nikakor ni možno ugotoviti, da bo potencialno skušal prenašat dodatne module z neavtoriziranih izvorov.
Tu se potem skriva veliki potencial zlorabe, saj 'pokvarjena' verzija, glede na funcionalnost ne počne kaj dosti drugega, kot clean verzija.

Zato je vprašanje, kaj je bilo tisto, na kar je reagiral ClamAV in zakaj sumim, da je morda celo šlo za false positive, ki se je kasneje izkazalo, da le ni čisto false. Seveda zdaj nikogar ne zanima, kako in zakaj je ClamAV sprožil malware alarm, saj je bistveni poudarek na raziskovanju, kako se je sploh lahko okužilo izvor datotek in kaj vse bi počel tisti dodatni 'stage 2 payload', ko bi si ga enkrat prenesel na računalnik.

Talos se je baje dokopal do enega od strežnikov, ki so stregli ta 'dodatek' in meni, da so bili na delu Kitajci... pokukaj malo v Talos blog.

Truga ::

SeMiNeSanja je izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Nic ni reagiral, samo prvi so dodali hashe. "Hevristike", ki ti jo prodajajo AVji, pa se nikoli nisem videl delovat v praksi. :P

AgiZ ::

@SeMiNeSanja podobno razmišlanje kot jaz.

Pa so že ugotovili kaj je šlo narobe, kako se je prikradla okužena verzija do uporabnikov? So pri CCleanerju kaj razložili kako in kaj?

jukoz ::

Truga je izjavil:

SeMiNeSanja je izjavil:

Vrag ti ga vedi, po katerem naklučju je ClamAV reagiral, saj kolikor je meni znano, nima nobene višje logike, heuristike ali AI, da bi še kaj več zaznal, kot ima v signaturah. Kako že rečejo? "Včasih tudi slepa kura...."

Nic ni reagiral, samo prvi so dodali hashe. "Hevristike", ki ti jo prodajajo AVji, pa se nikoli nisem videl delovat v praksi. :P


Priv so ga dali na seznam, ker je ClamAV v lasti Ciscota, Ciscotov team je pa odkril da nekaj ni OK s CCleanerjem.

Pa nehajte težit kako ClamAV nima AI in ostalih buzzwordov, ker tako kot Truga, tudi sam nisem opazil neke strašne dodane vredbnosti drugih AVjev. ClamAV uporabljajte na mailsrv, nek povsem drug AV pa na končnih mašinah. Precej majhna verjetnost je, da dva povsem različna AVja ne bosta našla nesnage, razen seveda če se, tako kot v primeru CCleanerja, ne znajdete na posebnem seznamu. V tem pimeru vam noben AV ne pomaga =)

jukoz ::

Okužba se je "prikradla" do uporabnikov tako, da so jo naložili iz interneta. Fora je, da so napadalci dobili dostop do build mašine oz postopka za prevajanje končne verzije CCleanerja in so dodali svojo kodo.

CCleaner je bil nato preveden in objavljen na spletni strani s strani proizvajalcev CCLeanerja. Proizvajalec sploh ni vedel da so jim vdrli in "popravili" kodo.

Sem pa navdušen nad načinom dela napadalev oz nad spremembo filozofije. Namesto da vdiraš v ne vem kakšne sisteme, pogledaš male programčke ki ji uporablja cel svet, ki pa imajo dovolj pravic za poseganje v računalnik in po omrežju.

Taki programi so pa različni - media player, PDF readerji, antivirusi, čistilci registrov, brskalniki, poštni odjemalci, ... Ali pa računovodski program, tako kot v primeru NotPetya

Nujno bo potrebno gledati hash-e ali se ujemajo, kot drugo pa presojati, ali je izdelovalec programske opreme sposoben zaznati vdor in popravljanje kode, preden je izdana ven.

AgiZ ::

Hashi so uporabni v primeru mitm, ja. Ima kdo kak avtomatiziran način za preverjanje teh. Namreč downloadanje, generiranje md5, primerjanje kode z kodo na spletni strani se mi zdi zelo zamudno opravilo če izvajaš to ročno.
Če pa je izdelovaled sposoben zaznati vdor... to pa mislim da ni mogoče napovedati/preveriti dokler se ne najde nekaj takega kot v tej temi. Žal.

MrStein ::

SeMiNeSanja je izjavil:


Tisti dejansko 'grdi' del se je na računalnike baje prenesel le v primeru, da se računalnik nahaja v eni od domen, katere so si izbrali za eksplicitne tarče.

Pa so AV-ji zaznali vsaj ta grdi del?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

AgiZ je izjavil:

Hashi so uporabni v primeru mitm, ja. Ima kdo kak avtomatiziran način za preverjanje teh. Namreč downloadanje, generiranje md5, primerjanje kode z kodo na spletni strani se mi zdi zelo zamudno opravilo če izvajaš to ročno.
Če pa je izdelovaled sposoben zaznati vdor... to pa mislim da ni mogoče napovedati/preveriti dokler se ne najde nekaj takega kot v tej temi. Žal.

Sandbox analitika od Lastline deluje po tem principu. Ko določena vrsta datoteka pride, generira hash, preveri status v cloud bazi in na osnovi rezultata presodi, če lahko zadevo spusti, jo takoj zavrne ali pa posreduje v analizo.
Doslej se je to pri WatchGuardu delalo zgolj na požarni pregradi, ravnokar pa so dali ven novo verzijo TDR endpoint zaščite, ki tudi uporablja Lastline analitiko za preverjanje sumljivih datotek na računalnikih.
Različni proizvajalci sicer uporabljajo različne pristope, vendar se mi zdi, da se vse bolj uveljavlja zgoraj opisani pristop.

Kar se tiče skepticizma okoli AI in heuristike, pa lahko rečem, da zadeva očitno kar deluje, ker mi maili gredo po vrsti čez 3 filtre, od katerih je prvi spam filter, ki ima nekakšen 'virus outbreak detection', kateri mi odstrani 95% nesnage, ki pride po mailih. V karanteni to potem pristane kategorizirano kot 'suspected malware'. Zgolj tisto, kar 'preživi' to detekcijo gre potem na klasično AV skerniranje, kar še to prestane, pa potem gre še skozi Sandbox analitiko.

Proizvajalci dobro vedo, da nobena metoda ni stoodstotno zanesljiva, zato se že dolgo zagovarja večplastni pristop. Del tega pristopa pa je tudi to, da si na računalnik namestiš AV od drugega proizvajalca, kot ga imaš na 'internetnem filtru'. Takointako pa ne smeš pozabiti, da je najpomembnejša plast zaščite ustrezna ozaveščenost uporabnikov - ki pa v primeru CCleaner ne more pomagat.

Ampak realno gledano, če je bil ClamAV kao prvi, ki je 18.9. dodal signaturo, potem tudi Lastline ni kaj dosti zaostajal, saj imam v mojih logih zapise od 18.9. ob cca. 18h, ko mi je Lastline blokiral CCleaner prenos. Okno nekaj ur je čisto sprejemljivo - problemtično pa je pri tistih zadevah, kjer se še tedne kasneje ne zazna grožnje - kar v industriji sploh ni nobena redkost.

MrStein ::

SeMiNeSanja je izjavil:

MrStein je izjavil:


No, drugim ta AI, hevristika, sandbox, behavior analysis itd... niso preveč pomagali, kaj?

You are missing the point.

Po tem, kar je do zdaj znanega, ta del, ki si ga je nameščalo miljone uporabnikov, sam po sebi ni 'vseboval' kaj dosti več, kot komunikacijo z nadzornim centrom.
... pokukaj malo v Talos blog.

Jaz sem. Ker ti očitno nisi, bom citiral nekaj delov:

"Within the 32-bit CCleaner v5.33 binary included with the legitimate CCleaner v5.33 installer, '__scrt_get_dyn_tls_init_callback' was modified to call to the code at CC_InfectionBase(0x0040102C).
...
The code that is called is responsible for decrypting data which contains the two stages of the malicious payload, a PIC (Position Independent Code) PE loader as well as a DLL file that effectively functions as the malware payload. The malware author had tried to reduce the detection of the malicious DLL by ensuring the IMAGE_DOS_HEADER was zeroed out"

"The binary then creates an executable heap using HeapCreate(HEAP_CREATE_ENABLE_EXECUTE,0,0). Space is then allocated to this new heap which is where the contents of the decrypted data containing the malware is copied. As the data is copied to the heap, the source data is erased."

"It also sets up a Return Oriented Programming (ROP) chain that is used to deallocate the memory associated with the DLL and exit the thread."

"It then delays for 601 seconds before continuing operations, likely an attempt to evade automated analysis systems"

In na koncu z CC naloži kriptirano drugo stopnjo.

Ja, čisto normalne in vsakdanje zadeve, ki sploh niso sumljive.

Ti kar tišči glavo v pesek, ampak to je epic fail AI/BA/kakorkoli-jih-že-imenujejo sistemov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

Kdo tišči glavo kam?

Si morda spregledal, da mi je Lastline sandbox analitika blokirala prenos CCleanerja? In to že drugič, ko je potem dan kasneje bilo vsepovsod brati o tem grozljivem spodrsljaju, če temu tako rečemo.

Ko mi je zadevo blokiralo, pač nisem bil pozoren in sem si mislil 'že ima kakšne muhe...false positive morda...'. Žal se ne spomnim več, kdaj je bila ta prva blokada.

Dejstvo pa je, da CCleaner prenašam 'kdaj pa kdaj', ne pa vsakodnevno, tako da ne morem reči, kako je zadeva bila zanesljiva ali nezanesljiva. Seveda je tudi možno, da so zgolj hitro dodali hash v svojo bazo in naknadno optimizirali svoje algoritme, threshold,... (ker mi je 21.9. blokiralo tudi ccupdate535.exe, za katerega se ni govorilo, da bi bil problematičen).

Analize, katere si kopiral, so razmeroma enostavne, če imaš na voljo originalno in popravljeno/zlorabljeno malware varianto. Narediš diff in že vidiš, kje se je nekaj spreminjalo. Malo težje pa je kategorizirati takšne klice, če nimaš nobene primerjave, saj so lahko tudi povsem legitimni, odvisno od tega, kaj naj bi nek software počel. Samo navaden sandbox nenavadnega obnašanja sploh ne more zaznati, saj se to aktivira le v določenih domenah. Torej 'okvaro' lahko ugotoviš zgolj z poglobljeno analizo strojne kode, kar pa večina sandbox-ov sploh ne počne (se omejujejo na 'opazovanje' kaj hoče koda početi, ko se zažene).
Lastline dejansko dela tudi analizo strojne kode, vendar se mora nabrati določeno število indicev, da se prevesi tehtnica z 'good' na 'suspicious' ali celo 'dangerous', sicer bi imel opravka z goro false positive zaznav in posledično pričel ignorirati analitiko, morda celo odinštaliral zadevo.

Je že tako, da je borba proti malware-u igra mačke z mišjo. Raziskovalci se trudijo, ne moreš pa pričakovati, da so vsemogočni in bodo vedno uspeli prestreči prav vse grdobije. Govoriti, da je vse skupaj brezveze, je čista ignoranca. Ali pa iskanje opravičila za škrtarjenje pri tovrstnih rešitvah?

Največja težava pri tem avtomatiziranem odkrivanju je ravno tisto ravnotežje, threshold, do kam je še premalo indicev, da neki datoteki ni za zaupati. Da nebi prevečkrat zagnali alarm za prazen nič, se threshold pomakne nekam, kjer so lahko zadeve pod določenimi pogoji tudi lahko že malo 'vprašljive'. Če barabe potem zelo previdno sestavijo svojo kodo, seveda lahko na nek način najdejo tudi takšno kombinacijo kode, ki sama po sebi še ne bo nudila dovolj indicev, da bi prebilo threshold in datoteko označilo za malware. Koneckoncev niso to programirali amaterji ampak profesionalci, ki so skoraj zagotovo svojo kodo predhodno testirali na različnih sistemih za odkrivanje zlonamerne kode in jo šele takrat uporabili, ko so se prepričali, da se bo uspešno izognila odkritju.

Sprijazni se z realnostjo, da noben varnostni sistem ni sto odstoten. Tudi v avtomobilih se ljudje še vedno ubijajo, pa zato vseeno ne rečeš, da ne rabiš airbagov, ABS, ESP in vseh ostalih varnostnih sistemov. Se jih pa definitivno manj ubije, kot leta nazaj, ko vseh teh sistemov še ni bilo.
Enako pa je tudi s software-om. Vsega ne bo nikoli mogel zaznati in preprečiti. Bo pa vse težje sprogramirati malware, ki se bo uspešno prebil skozi preverjanje, če boš imel vse mogoče varnostne rešitve.

Problem takih, kot si ti, pa je v tem, da mislijo, da mora en sam sistem rešiti vse težave. Že dolgo se pridiga, da optimalno varnost dosežeš izključno ob uporabni večplastne zaščite. Različne rešitve v tandemu imajo bistveno večjo možnost nekaj preprečiti. Zgolj z eno, pa nisi naredil veselja ne sebi, ne tistemu prodajalcu, od katerega si jo kupil. Ta ti namreč raje nebi prodal svoje rešitve, če bi vedel, da boš potem njega krivil, ker stvari ne delujejo tako, kot bi ti to rad videl.

MrStein ::

Ni govora o tebi in Lastline, ampak o:

700,000 infected PCs
the attack affected a total of 2.27M computers

"entries were dated between Sept. 12th and Sept. 16th. Over 700,000 machines reported to the C2 server over this time period"

Torej pri tretjini je odpovedala AI/hevristika/sandbox.

Reklama pravi:
"We stop every single unknown file and analyze it for malicious activity before it gets to you."
"Unrivalled heuristic detection capabilities ensure protection against new and ever evolving virus threats"

Kot si opisal, je v resnici "včasih analiziramo neznane fajle, včasih pač ne".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Unknown_001 ::

Mene sam zanima. Če na računalniku uporabnik izbriše program verjetno tista nesnaga ostane, ali se motim? Na enem hišnem računalniku sem sistem potem pregledal s Pando in Malwarebytesom. Našla nista nič. Je treba še kaj ročno pobrisat?
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

SeMiNeSanja ::

Presneto, od kdaj pa velja verjeti reklamam? To ti je tako, kot verjeti politikovemu predvolilnemu govoru.

Malo pa tudi moraš biti realista, se poglobiti v samo tehnologijo in razumeti, kje so meje njene zmožnosti. Saj tudi ne verjameš, da boš s Porschejem/Red Bull/name it - letel po zraku (razen mogoče iz ovinka)? Pa z Happy Meal tudi nihče še ni pozdravil depresije?...

@Raptor - kakor jaz razumem opise in razlage, bi posodobitev na 'clean' verzijo morala odpraviti 'luknjo'. Tisto drugo stopnjo naj bi staknili zgolj uporabniki določenih domen, ostalim pa zadeva naj nebi navlekla kakšne posebne nesnage.

Zgodovina sprememb…

Truga ::

Unknown_001 je izjavil:

Mene sam zanima. Če na računalniku uporabnik izbriše program verjetno tista nesnaga ostane, ali se motim? Na enem hišnem računalniku sem sistem potem pregledal s Pando in Malwarebytesom. Našla nista nič. Je treba še kaj ročno pobrisat?

Ce imas okuzen PC je edina smiselna resitev flatten & reinstall. Trenutno noben ne ve, ce se v tem skriva se kaj drugega, ko bojo vedli bo minilo se nekaj tednov, verjetno.

Zgodovina sprememb…

  • spremenilo: Truga ()
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

CCleaner brez soglasja zbiral podatke o uporabnikih

Oddelek: Novice / Zasebnost
319430 (5065) mtosev
»

CCleaner mesec dni stregel malware (strani: 1 2 )

Oddelek: Novice / Varnost
6916229 (11316) Truga
»

Več podrobnosti o napadu s CCleanerjem

Oddelek: Novice / Varnost
125285 (3500) crniangeo
»

ne more mzbrisat fajla (končnica .exe..)

Oddelek: Pomoč in nasveti
11985 (840) Alen T 1978
»

Nod32 ali Microsoft security essentials

Oddelek: Programska oprema
102016 (1812) SkyEye90

Več podobnih tem