Malware payload-ot találtak az Avast által disztributált CCleaner-ben

Titkosítás, biztonság, privát szféra

Idézet: For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner. CCleaner boasted over 2 billion total downloads by November of 2016 with a growth rate of 5 million additional users per week.

A részletek itt olvashatók.

( uid_16313 | 2017. 09. 18., h – 13:55 )

Ez a Piriform-os Ccleaner, ha jól láttam, nem tudom, hogy az Avast-nak mi köze hozzá.
Ettöl függetlenül sajnálatos, mert alapvetöen jó a cucc, de akkor erröl ennyit.
Persze ilyen hírek bármelyik utility-röl kiderülhetnek bármikor, csak auditálás kérdése az egész.

--
robyboy

Le van írva a cikkben: Az Avast felvásárolta a Piriform-ot, így a CCleaner is hozzákerült.
Amúgy mint írják nem az Avast tette bele a CCleanerbe a mallware-t, hanem valszeg valaki illetéktelen hozzáfért az Avast-os development szerverekhez és azon keresztül injektálta be a rosszindulatú kódot a kódbázisba.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

De milyen kár. :(

A bejegyzéshez:

Bár lentebb sokan írják, hogy minek ily sz.rokat telepítgetni, meg tuti malwere, egyebek. Többnyire egyetértek, de eddig pont ez a program volt az amelyiket szerettem winen. Több egyszerűbb megoldást is bedrótozott a win alá, amik amúgy jól el vannak dugdosva és sokszor -érzésre- lassabbak, körülményesek, de az biztos, hogy funkció-szegényebbek.
A free verzió pedig eddig nem tuszkolt a képedbe semmit. Azt hogy volt-e benne valamilyen kritikus dolog nem tudom, de sose éreztem, hogy nagyobb átjáróházat nyitott volna, mint bármi más. És pl. telemetria meg nyíltan a képedve van tolva, ha akarod, ha nem.
Használok még más szoftvert is, pl. particionálásra, mert a winben lévő buta, nulla.

(Nem akarnék most abba belemenni, hogy akkor használj mást. Használok, régóta. De más rendszereknek meg más a púpja.)

Nekem sem kevésbé furcsa, hogy pont most dúrta ki az Avast, hogy izé ez malweres. Az eddig Avastot futtató gépek egyikén sem volt CCleaner? Erősen bűzlik. Minden esetre sajnálom, de Avastot ezután sem fogok felrakni, pont az olyan f.szságaik miatt, hogy elkezdtek mindent az arcomba tolni, úgy 5-6 évvel ezelőtt. Azóta nincs és nem is lesz a gépeimen. Más kérdés, hogy a felvásárolt szoftverüket mennyire fogják saját képükre formálni.

Nem szervesen, de ide tartozik, hogy egyértelműen nem lehet elzárkózni egyes szoftverek, rendszerek elől kizárólag a tulajdonosi kör alapján. Olyan keresztbe drótozások vannak, hogy egyrészt követhetetlen, másrészt meg igen csak senki sem használna semmilyen szoftvert, ha azt figyelné kinek milyen kötődései vannak.

" Több egyszerűbb megoldást is bedrótozott a win alá, amik amúgy jól el vannak dugdosva és sokszor -érzésre- lassabbak, körülményesek, de az biztos, hogy funkció-szegényebbek."

+1
Mondjuk, EZT tudhatta volna, sajna megsem tudta, sajat bat filet kellet ra csinalnom:
%SystemRoot%\System32\Cmd.exe /c Cleanmgr /sageset:65535 & Cleanmgr /sagerun:65535

Nemcsak a ccleaner, a gui ciccban sem volt kapcsolo, amivel ezeket mind engedelyezni lehetett volna.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

( KoGa v | 2017. 09. 18., h – 14:06 )

Mindig is eleve malware-nek tartottam az ilyen CCleaner-hez hasonló szarokat, azt hiszem bebizonyosodott, hogy okkal.

Én ma például azon filóztam, hogy a Linux userek mi alapján bíznak meg 1-1 külsős repository-ban (PPA / COPR meg amit akarsz), főleg úgy, hogy a repository engedélyezés, illetve abból való telepítés csak rootként megoldható.
Nem hinném, hogy nagy különbségek vannak a felhasználói szokások tekintetében (rendszertől függetlenül) ha a ~0 km-es user azzal találkozik, hogy valami nem megy, és az első google találat azt mondja neki, hogy "ezt rakd fel mert ez a tuti".
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem tudom.. EPEL-t pl te hova sorolnád? De kb mindent felhozhatnék ami nem hivatalos repo: Google, Adobe, VirtualBox - mindnek megvan a saját binary only repository-ja, és még ha van is forráskód, akkor se lehetsz benne biztos, hogy a kapott binárist abból fordították.
Plusz ilyen szempontból a Windows némileg más mint a Linux, mert itt legalább megvan az az előny, hogy az alap reponak nem csak a rendszer a része, hanem külsős cuccok is (mittom én, DVD író, média lejátszó, hasonlók). Win alatt meg kapod az alap rendszert aztán minden mást szerezz be ahogy tudsz (sima freeware download, megvásárolt termék, vagy ne adj isten Warez) - mindegyik esetben meg kell bíznod a cégben aki a software-t készíti (illetve a letöltési helyben is ami magát a letöltést is biztosítja (pl. Softpedia, SourceForge).
Anno még mielőtt az MS-hez csatlakozott volna, Mark Russinovich-nak is saját oldala volt a Process Explorerhez (és az összes többi toolhoz, ami kb minden Win admin eszköztárába belekerült) amiben szintén elég durván meg kellet bíznod - ilyen szempontból nem tudom mi különbség van az és a CCleaner között, vagy bármilyen másik toolban amit így vagy úgy hivatalosan (!) be lehet szerezni
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"EPEL-t pl te hova sorolnád?"

Nemtom' mi az.

"De kb mindent felhozhatnék ami nem hivatalos repo: Google, Adobe, VirtualBox - mindnek megvan a saját binary only repository-ja, és még ha van is forráskód, akkor se lehetsz benne biztos, hogy a kapott binárist abból fordították."

Nem használok ilyeneket.

"Win alatt meg kapod az alap rendszert aztán minden mást szerezz be ahogy tudsz (sima freeware download, megvásárolt termék, vagy ne adj isten Warez) - mindegyik esetben meg kell bíznod a cégben aki a software-t készíti (illetve a letöltési helyben is ami magát a letöltést is biztosítja (pl. Softpedia, SourceForge). "

Az egyik ok, ami miatt nem használok Windowst saját célra.

--
trey @ gépház

google elso talalat azt mondja hogy ezt kell felrakni, akkor felrakja.

de terjesztett mar "okossagot" a _hivatalos_ transmissionbt kliens is, es mi a garancia hogy nincs hasonlo egy hivatalos debian/ubuntu/centos/fedora csomagban? van erre valami vedelem hogyha valahova megis beferkozik valaki akkor azt valahogy kiszurjek?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Elvileg a védelem annyi, hogy mindent forrásból fordítanak, és ha valami ilyen változás van, akkor az minden distro-ban lévő package maintainer kezén át kell akkor menjen - ha mindegyik benézi, akkor lényegében mindegyikbe bekerül az egész.. Ha meg csak az egyik rájön a turpisságra, akkor azonnal kiírja azt valahova és értesíti a többi distro-t, hogy erre figyelni kéne.
Támadásik oldalról egyszerűbbnek tűnik inkább egy adott distro-hoz tartozó csomagot "megfertőzni" innentől, viszont ott se könnyű külsősként játszani, mert vagy a napi buildes autómata vágja felül a cuccod (ha a binárist cserélted le), vagy a package signature-el gyűlik meg a bajod. Persze más ha az egész mókát a csomag karbantartója csinálja, mert ő lényegében minden commit fölött approve joggal rendelkezhet (valami rémlik, hogy egy elhanyagolt csomag új "önjelölt" maintenere elkezdett valami ilyet, de nem emlékszem, hogy melyik distronál volt ez, és hogy melyik csomagnál ha fegyvert szögeztek a fejemhez se), de még ott is megvan a lehetőség, hogy a community esetleg észreveszi.
A másik oldal meg persze amikor nem szándékos a károkozás, de valahogy még is sikerül, mint pl itt is: https://github.com/MrMEEE/bumblebee-Old-and-abbandoned/issues/123
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Azt kellene nézni, hogy a piaci részesedés mekkora Windows kontra linux esetében, és akkor arányosítani. Lehet meglepő eredmény születne.

Nem védeni akarom a Windowst, de a linux-ot sem.
Ha eljönne a Linux desktop éve, akkor ugyanilyen híreket olvasgatnánk Linux alapokon, és ellenpéldaként hoznánk fel a Windowst.

--
robyboy

Nem érdekel, hogy a piaci részesedés, a diverzitás vagy mi miatt vagyok nagyobb biztonságban _jelenleg_ és mi lenne ha a Linux desktop éve eljönne. Az érdekel, hogy most mi van. Majd ha eljön a Linux desktop éve és vele együtt a veszedelem, akkor majd kitalálom mi legyen.

Szerintem a hivatalos tárolók vs. leszedek minden szart a netről és telepítem ész nélkül már önmagában ég és föld különbség. Szerinted hány Windows felhasználó tud valamit a checksum-okról és hány ellenőriz ilyesmit?

Aztán vegyük ide a warez kérdést. Szerinted melyik tábor warezol? Melyikre jelentenek veszélyt a feltört és egyben trójaival, malware-rel megpatkolt binásiok, telepítők?

Szerinted melyik tábor tud többet százalékosan a biztonságról?

Ezek mint tényezők, amiket nem lehet figyelmen kívül hagyni.

--
trey @ gépház

A Linux desktop éve egyesek szerint már itt van: http://www.serverwatch.com/server-news/jim-zemlin-declares-2017-the-yea…
Amúgy meg szerintem te "ráerölteted" a saját képedet az általános Linux felhasználó(k)ra: Az alapján amit te elmondasz egy általános Linux felhasználó erősen 3-5 éves Linux múlttal rendelkezik, érdeklődik a téma irán, és folyamatosan tanul, ergo van némi háttérismerete arról, hogy a rendszert többé kevésbé biztonságos keretek között használni.
Viszont a desktop Linux éve pont azért is jött el (citation needed), mert nagyon sok olyan felhasználó került be a rendszerbe akik eche 0 km-esek, és fingjuk nincs mi és hogy működik (pláne nem hogy működhet biztonságosan), és ugyan úgy warezolgatnak ha tehetik (és ide már nyugodtan számold bele az Androidos közösséget is), vagy a google-n megtalált első találat alapján próbálnak 1-1 problémát megoldani, Miért? Mert erre szocializálódtak a Windowsos időkből is. Linux alatt ugyan ez megy most, csak a "megbízható tároló" a Git lett, és kis millió telepítő úgy indít, hogy 'git clone && ./configure && make && make install'.
És ne feledd, hogy itt se feltétlen arról van szó, hogy egy "noname" telepítő forrásban kellett a felhasználónak megbíznia ami aztán hoppon is ejtette, hanem egy certifikált hivatalos disztribútortól kapott csomag tartalmazott olyan kódot, amit a gyártó (állítólag) nem is tervezett bele. És ez Win-es környezetben így lehetett volna kb bármelyik felhasználói programokat gyártó céggel - Comodo, Symantech, Adobe - mind mind szerintem belefuthattak volna ilyenbe. Erről az oldalról nézve akár azt is mondhatod, hogy a jelenlegi Windows köré épített ökoszisztéma az ami az egész nyavalyának a forrása (mert hogy a felhasználók arra lettek szocializálva, hogy külsős forrásból szerezzenek be mindent ami nem a rendszer része ), amit majd talán a Windows Store lassan átalakít, de addig még jó pár évnek el kell telnie, és ez a hibalehetőség szerintem még akkor is ott lenne a rendszerben ugyan úgy.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Erről az oldalról nézve akár azt is mondhatod, hogy a jelenlegi Windows köré épített ökoszisztéma az ami az egész nyavalyának a forrása"

Ezt is mondom.

"amit majd talán a Windows Store lassan átalakít"

Semmit sem fog átalakítani. A Windows Store sosem fogja megközelíteni egy Debian archívumának minőségét.

--
trey @ gépház

Igen, a felhasználói bázis valóban különbözö(?). Ettöl függetlenül mindkét rendszer alá lehet simán mailware-es cuccokat telepíteni. Az meg, hogy ez inkább a windows alatt mindennapos, leginkább azon múlik, hogy az alá ÈRDEMES ilyeneket fejleszteni, mert ott van a komolyabb felhasználói bázis.

A warezolás, a hülyegyerekek hozzáállása persze sokat ront a Windows statisztikán, de ez is a felhasználói bázis (statisztika) százalékát növeli, ergo rontja a biztonság statisztikáját.

Persze az számít, ami van. De ne higyjük egy percig sem azt, hogy a linux sebezhetetlenebb, mint a windows. Egyszerüen csak nincs úgy a fókuszban, és pont ez a szerencséje.

--
robyboy

Nos, nem tudom, hogy mit jelent a laikus felhasználó? Aki nem ért a géphez? Az veszélyes mindenre, legföképpen önmagára. A Warezolókra? Ök sem laikusok, mert TUDJÀK, hogy mit csinálnak, akár még a vírust is bevállalják, hogy utána leírtsák.

Az meg, hogy kap az ember egy Wannacry-t e-mailben és rákattint, na az a Windows problémája valóban. De ettöl még a linux nem biztonságosabb, csak éppen nem az van a támadás középpontjában.

Szóval továbbra sem vallom, hogy a Windows kevésbé biztonságos, csupán a mintavétel arányossága megtévesztö.
Nagyon sokan használják a Windows-t is normálisan, biztonságosan (függetlenül attól, hogy hazatelefonál-e mint E.T.).

--
robyboy

Na azért ez a jelenlegi állapotban erős csúsztatás.. Talán igaz lehetne ha a jelenlegi supply chain normálisan követné a frissítéseket, és minden gyártó normálisan támogatná a készülékeit, de mivel nem így van, így azért van ott is lyuk bőven*. És ami azt illeti nem kis lyukak azok se..
Másik oldalról meg up-to-date Droidra is vannak malware-ek** amik csak-csak el tudnak bújni Google Play-en***..
Persze mondhatod, hogy mivel nincs alapból a legtöbb eszközön root jogod, így a rendszer magja védett, de tekintve, hogy a fő támadási vektor pont a felhasználó, illetve annak adatai, így ez kb nem jelent semmit, plusz mivel van nem 1 ember aki azért szeretné rootolni is a telóját, így maga a rootoláshoz szükséges eszközök beszerzése és használata is már magában veszélyes (főleg ha belegondolsz, hogy sok esetben a rootoláshoz első lépésben valami kernel exploit szükséges)
A másik védvonalnak tekinthetnéd a jogosultsági beállításokat (hogy a felhasználónak jóvá kell hagynia, hogy egy program mihez is férhet hozzá), de ez szerintem 2 sebből is vérzik: User interakcióra épít, amit meg mint tudjuk elég könnyen lehet befolyásolni (vagy épp kihasználni****) így vagy úgy (főleg ha a program valami olyat csinál ami a user szemében "hasznos", attól függetlenül, hogy esetleg olyan dolgokhoz is hozzáférést kér a program amihez amúgy köze nem kéne legyen), más részről meg a legtöbb usernek fogalma sincs ezekről a védelmi megoldásokról, és szívük szerint az egészet kikapcsolnák a francba, mint a Windows-os UAC-t..
Szóval nem, azért vannak ott is problémák dögivel..

* https://www.cnet.com/news/android-hack-copycat-malware-device-outdated-…
** https://www.symantec.com/security_response/landing/azlisting.jsp
*** http://www.telegraph.co.uk/technology/2017/04/27/millions-android-phone…
**** https://researchcenter.paloaltonetworks.com/2017/09/unit42-threat-brief…
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Jól összefoglaltad miért is biztonságosabb az Android. Plusz még a különböző linux userneveken futó alkalmazások is sokat tesznek a biztonsághoz.
Természetesen lehet rootolni a mobilt és a Play védelme sem 100%. De az átlag user nem fog ezekkel foglalkozni, nem fognak rootolni.
Ha összeveted az elmúlt időszak kritikus biztonsági incidenseit látható a kontraszt Android és Windows között.
Örök problémát a, hogy is nevezzem őket, mondjuk r=2 userek jelentenek. :)
Azok a középhaladó vérpistikék, akik eleget tudnak ahhoz, hogyan csesszék tönkre a mobiljukat de nem igazán értik mi mit is jelent pontosan. Természetesen megjavítani sem tudják az elcseszéseiket.
A frissítéseket nem ismerő Android gyártók kikopóban vannak. Vagy rákaptak az updatekre, vagy kirostálódnak a versenyben. Android One eléggé kemény nyomást jelent a piac alsó szegmenséből. Felsőközéptől felfele pedig jobbnál jobb rendszeresen frissített Androidok között lehet válogatni.

Csak egy példa, aktuális hír, hogy a Firefox uninstall után nem törli megfelelően a felhasználói adatok egy részét, amihez aztán könnyen hozzáférhet más alkalmazás. Mozilla 7-8 éve tud a dologról.

Ez pl. ha jól sejtem, platformfüggetlen probléma. És itt vissza is kanyarodtunk az alapproblémához. Mindegy mennyire biztonságos a rendszer, ha az alkalmazások, illetve felhasználói hozzá-nem-értések károsak.

--
robyboy

( BlinTux v | 2017. 09. 18., h – 14:38 )

Még jó, hogy 5.29 óta nem frissítettem, de akkor egy ideig nem is fogom! :)

( pirate | 2017. 09. 20., sze – 10:11 )

[OFF]
Nem szoktam minden magyarul ragozott angol szon fennakadni, de a "disztributalt" nagyon szurja a szemem, sajnos eloadason is hallottam mar. Lehetseges alternativak ebben az esetben: Avast altal szallitott, Avas altal kinalt, Avast altal elerhetove tett.
[/OFF]

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

( toMpEr | 2018. 04. 18., sze – 16:28 )

CCleaner Attack Timeline—Here's How Hackers Infected 2.3 Million PCs

- March 11, 2017 (5 AM local time)—Attackers first accessed an unattended workstation of one of the CCleaner developers, which was connected to Piriform network, using remote support software TeamViewer.
- March 12, 2017 (4 AM local time)—Using the first machine, attackers penetrated into the second unattended computer connected to the same network and opened a backdoor through Windows RDP (Remote Desktop Service) protocol.
- ...
- August 2, 2017—Attackers replaced the original version of CCleaner software from its official website with their backdoored version of CCleaner, which was distributed to millions of users.
- September 13, 2017—Researchers at Cisco Talos detected the malicious version of the software, which was being distributed through the company's official website for more than a month, and notified Avast immediately.
- Second-stage payload infects big tech companies (Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai, VMware) The CCleaner hackers specifically chose these 20 machines based upon their Domain name, IP address, and Hostname. The researchers believe the secondary malware was likely intended for industrial espionage.

via https://thehackernews.com/2018/04/ccleaner-malware-attack.html