来自 网络 2022-05-03 15:50 的文章

DDOS高防服务_高防直连vps_免费试用

DDOS高防服务_高防直连vps_免费试用

澄清发生的事情并概述我们保护CCleaner客户的下一步措施

今天有相当多的媒体报道我们宣布,梨形CCleaner产品在构建过程中被非法修改,包括后门组件。我们的首要任务是致力于数百万用户的安全,并支持我们的新合作伙伴Piriform应对这种情况。我们了解到,鉴于10天前Equifax数据泄露事件的迟发,消费者和媒体应该非常敏感。因此,一旦我们意识到这个问题,我们就参与并解决了它。在发现后的大约72小时内,Avast解决了该问题,对我们的梨状肌客户没有已知的伤害。这篇文章的目的是澄清实际发生的事情,纠正目前流传的一些误导性信息,重述Avast采取的行动,并概述下一步行动。

Avast于2017年7月18日收购了CCleaner的制造商Piriform,因为Piriform拥有出色的产品,以及出色的支持者和用户。我们今天坚持这一点。我们不知道的是,在我们完成收购之前,坏演员可能已经在侵入梨状肌系统。妥协可能从7月3日开始。服务器是在2017年早些时候配置的,ddos最佳防御点,相应https通信的SSL证书的时间戳为2017年7月3日。我们强烈怀疑Piriform作为独立公司运营时成为目标,在收购Avast之前。

8月15日发布了受损版本的CCleaner,并在四周内未被任何安全公司发现,凸显了攻击的复杂性。在我们看来,这是一次精心准备的操作,它没有对用户造成伤害这一事实是一个非常好的结果,这是因为我们从安全公司Morphisec的朋友那里收到了最初的通知(更多信息见下文),随后梨状肌和Avast团队一起工作,做出了迅速反应。我们继续与执法部门积极合作,共同确定攻击的来源。

最初宣布后不久,发布了一系列新闻报道,但许多关于所发生事件和对用户影响的细节都是猜测。我们希望借此机会在本文中尽可能多地更正。

许多文章暗示,每周新增500万用户,影响20亿用户。这是因为自CCleaner启动以来,它已经被下载了20亿次,目前每周有500万次被下载,如他们的网站所示。然而,这与实际受影响的用户有几个数量级的不同。由于只有两个较小的分发产品(32位和云版本,仅限Windows)受到损害,因此受此事件影响的实际用户数为227万。由于采用了主动更新方法,尽可能多地更新用户,我们现在仍有730000用户在使用受影响的版本(5.33.6162)。这些用户应该升级,即使他们没有风险,因为恶意软件在服务器端已被禁用。

Avast于PT 9月12日上午8:35从一家名为Morphisec的公司第一次了解到可能的恶意软件,该公司向我们通报了他们的初步发现。我们相信Morphisec也通知了Cisco。我们感谢莫菲塞克,我们特别感谢他们的聪明人,他们发现了这一威胁,并允许我们着手减轻这一威胁。在收到此通知后,我们立即展开调查,在收到Cisco消息时(美国太平洋时间9月14日上午7:25),我们已经彻底分析了威胁,评估其风险水平,同时与美国执法部门合作,正确调查问题的根本原因。

随后,在Avast与执法部门合作后,于9月15日上午9:50分关闭了违规CnC服务器。在此期间,Cisco Talos团队一直在并行处理此问题,在我们有机会注册二级DGA域之前就已经注册了。通过这两项行动,ddos防御设备评测,服务器被关闭,威胁被有效消除,国外cdn高防,因为攻击者失去了交付有效负载的能力。

与此同时,梨形机器人和Avast团队也在忙着为CCleaner用户提供快速修复。首先,我们确保当前发布的版本(5.34)和以前的版本不包含威胁——它们没有。接下来,我们发布了一个固定版本5.33.6163,与5.33.6162相同,但删除了后门,并在可能的情况下将此版本作为轻量级自动更新推送给CCleaner用户,进一步减少了受影响的客户数量。我们通知其余用户尽快升级到产品的最新版本(很遗憾,我们无法自动更新免费的CCleaner用户,因为免费版本不包含自动更新功能)。

一些媒体报道表明,受影响的系统需要恢复到8月15日之前的状态,或者重新安装/重建。我们认为这是没有必要的。大约30%的CCleaner用户还运行Avast安全软件,ddos防御开发,这使我们能够分析来自这些机器的行为、流量和文件/注册表数据。根据对该数据的分析,我们认为第二阶段有效负载从未激活,即客户机器上唯一存在的恶意代码是嵌入ccleaner.exe二进制文件中的恶意代码。因此,我们认为恢复受影响的机器到8月15日前状态是不必要的。根据类似的逻辑,安全公司通常不会建议客户在其计算机上发现远程代码执行漏洞后重新格式化其计算机。

建议客户更新到最新版本的CCleaner,这将从其系统中删除后门代码。到目前为止,CCleaner 5.33用户正在收到通知,建议他们执行更新。