查看: 4318|回复: 14
收起左侧

[讨论] Xshell,CCleaner接连被入侵,大家有什么看法?

[复制链接]
kfcode
发表于 2017-9-22 00:25:14 | 显示全部楼层 |阅读模式
之前看网文将putty换成了xshell,顺手了很多,结果8月份被曝有后门,结果是把手上的服务器密码都换了一遍,发誓再也不碰netsarang

今天又发现ccleaner也出事了,我装的avast竟然一点反应都没有,后来了解到cc被avast收购了。自然我换成了dism++和eset

我一直都秉承一个观点——裸奔是不靠谱的,因为现在的攻击行为不像10年以前那样大张旗鼓,而是闷声发大财,中了毒也不一定知道。现在我有了另一个论据——即便你用的都是经过签名的大厂软件,及时安装补丁,有良好的电脑使用习惯,也不能保证这些大厂不会后台干些见不得人的事情(无法排除有内鬼,或者配合gov,这里不谈国内软件)。
请问大家怎么看这两件事,或者说以后怎么选用软件?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfcode
 楼主| 发表于 2017-9-22 00:27:09 | 显示全部楼层
发一个avast关于cc事件的回应,谷歌机翻
澄清发生了什么,并概述了保护CCleaner客户的下一步措施

关于我们的声明,Piriform CCleaner产品在构建过程中被非法修改,包括一个后门组件,已经有相当多的新闻报道。我们的首要任务是我们致力于数百万用户的安全和保障,并支持我们的新合作伙伴Piriform处理这种情况。我们明白,鉴于10天前公布的大量Equifax数据泄露,消费者和媒体都应该是非常敏感的。因此,一旦我们意识到这个问题,我们就会解决它。在发现的大约72小时内,Avast解决了这个问题,对我们的Piriform客户没有任何已知的伤害。本文的目的是澄清实际发生的情况,纠正一些当前流传的误导性信息,

Avast于2017年7月18日收购了CCleaner的制造商Piriform,因为Piriform有一个伟大的产品,以及美妙的支持者和用户。今天我们坚持下去。我们不知道的是,在完成收购之前,坏角色可能已经在黑客入侵Piriform系统。妥协也许开始于7月3 次。服务器于2017年初提供,相应的https通信的SSL证书的时间戳为2017年7月3日。我们强烈怀疑,在Avast收购之前,Piriform正在作为一家独立公司运营。

CCleaner的受损版本于8月15日发布,任何安全公司未被发现四周,强调攻击的复杂性。在我们看来,这是一个准备充分的操作,事实上它不会对用户造成危害是一个非常好的结果,这可以通过我们从安全公司Morphisec的朋友收到的原始通知成为可能(更多在下面)其次是Piriform和Avast团队在一起合作的迅速反应。我们继续积极与执法部门合作,共同确定袭击的根源。

最初公布后不久,发布了一系列新闻报道,但是对于发生了什么事情和对用户的影响的许多细节都被推测出来。我们想借此机会在本文中尽可能多地纠正。

许多文章暗示,每周有20亿用户受到500万的影响。这来自于CCleaner开始的事实,已经下载了20亿次,每周500万次,目前正在其网站下载。但是,与实际受影响的用户不同,这是数个数量级。由于只有两个较小的分销产品(32位和云版本,仅限Windows)受到影响,因此受此事件影响的实际用户数量为2.27M。而且由于采用积极主动的方式更新尽可能多的用户,我们现在还有73万用户仍在使用受影响的版本(5.33.6162)。即使恶意软件在服务器端被禁用,这些用户也不会处于危险之中。

Avast首先在9月12日上午8:35从一家叫Morphisec的公司了解到可能的恶意软件,通知我们他们的初步结果。我们相信Morphisec也通知了思科。我们感谢Morphisec,我们向他们聪明的人发出特别的债务,他们确定了威胁,并允许我们进行减轻的事情。收到此通知后,我们立即进行了调查,到收到Cisco消息(9月14日上午7:25 PT)的时候,我们已经彻底分析了威胁,评估了其风险级别,并行并行处理了法律在美国执法,妥善调查这个问题的根本原因。

此后,在与Avast与执法部门的合作下,CnC的服务器遭到了9月15日上午9:50的淘汰。在此期间,并行处理此问题的思科Talos团队在我们有机会之前注册了二级D​​GA域名。通过这两个动作,服务器被取消,并且威胁被有效地消除,因为攻击者失去了提供有效载荷的能力。

同时,Piriform和Avast的团队也忙于为CCleaner用户提供快速解决方案。首先,我们确保目前的发货版本(5.34)和以前的版本不包含威胁 - 他们没有。接下来,我们发布了一个固定版本5.33.6163,与5.33.6162相同,但是后门被删除,并将此版本作为对CCleaner用户的轻量级自动更新推送到可能的地方,进一步减少受影响的客户的数量。我们通知剩下的用户尽快升级到最新版本的产品(不幸的是,我们无法自动更新免费的CCleaner用户,因为免费版本不包含自动更新功能)。

一些媒体报道表明,受影响的系统需要恢复到8月15 日前的状态或重新安装/重建。我们不相信这是必要的。CCleaner用户中约有30%还运行Avast安全软件,这使我们能够从这些机器分析行为,流量和文件/注册表数据。基于对这些数据的分析,我们认为第二阶段有效载荷从未被激活,即客户机器上存在的唯一恶意代码是嵌入在ccleaner.exe二进制文件中的一个。因此,我们认为将受影响的机器恢复到8月前的状态不必要。通过类似的逻辑,安全公司通常在其计算机上识别出远程执行代码漏洞后,通常不建议客户重新设置机器。

建议客户更新到最新版本的CCleaner,这将从其系统中删除后门代码。截至目前,CCleaner 5.33用户正在收到通知,建议他们执行更新。

我们深切了解情况的严重性,就像我们所有的安全威胁一样。对于Piriform的客户所带来的不便,我们感到遗憾。重申,我们承担违约责任,并采取以下行动和预防措施:

在对客户造成任何伤害之前,服务器被关闭
我们立即与执法机构确定袭击的根源
我们采取了多个步骤来更新受影响的软件版本的客户
当我们被清除时,我们透露了博客中发生的一切事情
我们将Piriform构建环境迁移到Avast基础设施,并正在将整个Piriform员工迁移到Avast内部IT系统。
我们计划在此发布更多更新。我们把这个不幸的事件妥善地调查是最重要的,并采取一切可能的措施,确保不会再发生。

本博客文章已被更新 在这里。

Vince Steckler首席执行官
Ondrej Vlcek首席技术官兼执行副总裁消费者业务
绯色鎏金
发表于 2017-9-22 06:32:05 来自手机 | 显示全部楼层
信则用,不信则不用。仅此而已。

cc 64位是clean的,不报很正常,32位被感染了,然而不只avast,其他的知名杀毒软件也没有第一时间查杀,并不能说明什么。

网络世界哪来的安全,大厂如何,越是大厂,被攻击的频率反而越高。
xuxin
发表于 2017-9-22 07:23:34 | 显示全部楼层
对Avast官网的公告不要过分相信,建议参考第三方安全公司报告,发现问题的是第三方安全公司并不是Avast自身,在其它安全公司曝光此事后,Avast官网从开始就极力的轻描淡写的淡化问题,这是对用户安全极不负责的行为,从此对Avast无任何信任感!



sunnyjianna
发表于 2017-9-22 08:10:20 | 显示全部楼层
之前喊了那么久的win10操作系统后门,现在不都还是那样。这个东西
35303455
发表于 2017-9-22 08:31:16 | 显示全部楼层
尽量少装无用的程序
nonote
头像被屏蔽
发表于 2017-9-22 08:55:58 | 显示全部楼层
就算是这样也比国产软件安全得多
灭灭之痕
发表于 2017-9-22 09:18:38 | 显示全部楼层
绯色鎏金 发表于 2017-9-22 06:32
信则用,不信则不用。仅此而已。

cc 64位是clean的,不报很正常,32位被感染了,然而不只avast,其他的 ...

怀疑大厂为了提高检测效率,对于某些信赖程度较高的程序或文件可能采用白名单或者简化了分析策略,可能验证了数字签名没问题就不去细查了。
BrianG045
发表于 2017-9-23 18:23:16 | 显示全部楼层
这个问题的话估计现在慢慢的会发酵吧,怎么说,估计全球又有一波各种漏洞后门事件要发生了
MaxMadcc
发表于 2017-9-24 00:20:44 | 显示全部楼层
唉,难不成,现在下软件,要一个一个反汇编看看都在干什么?(这不科学的)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 19:18 , Processed in 0.130205 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表