前言
捷克知名杀软公司AVAST(爱维士),2017年收购了CCleaner母公司Piriform
2017年9月18日,著名的系统优化工具CCleaner的某个版本被发现植入后门,巧合的是那一天刚好正在两家公司业务交接。
正文
两年后,2019年9月23日,AVAST在其公司网络中发现了可疑行为,并立即发起调查,并且还与捷克情报机构,安全信息服务(BIS),捷克地方警察网络安全部门以及外部法证团队合作,以提供其他工具来协助调查工作并验证收集的证据。
而收集的证据指向2019年10月1日在MS ATA/VPN上的活动,分析人员在分析MS ATA告警时,发现告警是从属于AVAST公司VPN地址范围的内部IP,触发恶意复制目录服务从而导致告警。
黑鸟注释:MS ATA = Microsoft Advanced Threat Analytics 微软高级威胁分析,可见关键时刻上的还是微软父亲的产品。
然后该告警最初被视为误报,可想而知,黑鸟认为不要怀疑每一个内网的告警,毕竟像这么大的一家安全公司,使用自家的安全防护设备,在判断误报行为都会出错,何况不是生产安全防护设备的公司。
而该被窃取的用户凭据显然已受到攻击,并可以与该内部IP相关联,但是该账号并没有域管理员权限。但是,在提权成功后,攻击者是可以设法获得域管理员权限的。
而内网IP连接外网的IP是通过英国以外的公共IP建立的,并且攻击者还通过与该公司使用同一个VPN提供商来搭建外联IP作为跳板。
在分析外部IP时,他们发现攻击者早在2019年5月14日就试图通过他们的VPN来访问网络。
经过进一步分析,他们发现内部网络已通过临时VPN配置文件成功使用凭据进行访问,该配置文件错误地保持启用状态,并且不需要二次认证。
10月4日,他们再次观察到了这一活动。MS ATA标记的可疑活动的时间戳为(所有时间均为GMT + 2):
2019年5月14日凌晨2:00
2019年5月15日4:36
2019年5月15日晚上11:06
2019年7月24日下午3:35
2019年7月24日下午3:45
2019年9月11日下午3:20
2019年10月4日上午11:57
日志进一步显示,临时配置文件已被多组用户凭据使用,分析人员认为登陆VPN的用户的凭据因此均被盗窃。
为了跟踪攻击者,他们一直打开临时VPN配置文件,继续监视和调查通过该配置文件进行的所有访问,直到他们准备采取补救措施为止。
黑鸟认为这个钓鱼执法实际上是正确的,防止打草惊蛇。
在确认开始补救后,由于此前CCleaner就被人入侵并植入后门,因此他们仍认为本次攻击者目标仍然是CCleaner,因此为了阻止供应链攻击的发生,他们在9月25日,停止了即将发布的CCleaner版本,并开始检查以前的CCleaner版本,确认没有进行任何恶意更改。
紧接着,他们重新签名了该产品的以保证完整更新,并于10月15日通过自动更新将其发布给用户,其次,他们吊销了以前的证书。
上面这套流程,对于在防止供应链攻击可以起到一点作用。
最后,为了稳住用户的心,AVAST公布了自己被入侵的事实,并且详细说明自己公司的补救措施,这点比一些公司被入侵了还藏着捂着(没错我就是在说Teamviewer)要好太多。
总结来说,公司的所有入口都要排查安全性,特别是这种居然还留有VPN临时配置文件可被使用的情况尤其注意。
从黑鸟小号转载,有需要赶紧过去冲鸭!
▲扫码关注,感激老铁
点个赞,每日一个威胁情报故事
4339
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
