در روز شاهد حملات و هک هایی در دنیای کامپیوتری هستیم ولی ایندفعه هکر ها از نرم افزاری معروف و پر کاربر
استفاده کردند و به چندین هزار کاربر حمله کرده و ماشین ها و تجهیزات آن ها را آلوده کردند.
این دو شرکت یعنی Cisco ,Avast که در حال حاضر هر دو مالک Ccleaner هستند , آپدیتی را ارائه دادند که
همراه با آن توضیحاتی را ارائه کردند و در این توضیح اشاره به این داشتند که مرحله دوم Payload ها از سرور C&C گرفته شده است.
” Ccleaner یک نرم افزار مخرب “
وقتی که شرکت های مخابراتی Payload ها را دریافت می کنند , از این طریق است که
100 ها دستگاه آلوده و بعد از 3 روز لاگ گرفتن مداوم 20تا از آن ها امکان دارد پیدا شود و این شناسایی
از روی اپدیتی که Avast Ceo Vince Sticklr و Cto Ondrej Vlcek ارائه داده , انجام می شود.
این حملاتی که به کاربران ccleaner اعمال شد تعداد کمی نیست بلکه نزدیک به 2.27 میلیون کاربر
Ccleaner را در بر گرفته است.
با اینکه نرم افزار Ccleaner نرم افزاری است برای هدفی خاص طراحی و استفاده می شود ولی حملاتی
که با سوء استفاده از این برنامه انجام شد به صورت Water Hole بوده که این حالت به صورتی عمل می کند
که کاربر و یا دستگاه خاصی مد نظر برای هکر ها و حملات آن ها نیست که به آن حمله کنند
بلکه به صورتی است که شعار آن ها این است
“یکی انتخاب می شود”.
تعدادی دامنه وجود دارد که این هکرها به دنبال مصالحه با آن ها هستند و ارتباط این دامنه ها با شرکت هایی همچون
sony, Microsoft, vmware, Vodafone, O2, singtel ,Linksys, gmail و خود cisco
پیدا کردن و ارتباط با یکی دیگر از سرور های cnc, و داشتن آدرس آن می تواند برای ما
تایین کند از این 3 مکانیزم کدام باید مورد استفاده قرار بگیرد.
1-اکانتی در Gifthub
2-اکانتی درWordpress
3-رکورد دامنه ها در Dns
” Ccleaner یک نرم افزار مخرب “
قسمت دوم Payload مسؤل نگهداری Dll ها به شکل ساختاری می باشد ولی با این حملات که به Dll های
اصلی دسترسی پیدا کرده و به آن ها آسیب رسانده است.
کسانی در این حملات قربانی شدند , درخواست به پاک کردن و یا به روز رسانی Ccleaner را ندادند و فقط درخواست
بازیابی و بازنشانی تنظیمات اولیه سیستمی خود از طریق فایل های پشتیبانی خواسته است تا دیگر اثری از برنامه ها
آلوده و همچنین آلودگی Ccleaner بین برود.