PC최적화 소프트웨어(CCleaner) 다운로드 서버 해킹, 230만 사용자 악성코드 감염

보안 연구원에 따르면 CCleaner 소프트웨어 다운로드 서버 해킹으로 ‘17.8.15 ~ 9.12, 약 230만명의 사용자에게 악성코드가 배포된 것으로 확인

* 보안업체 Avast社가 PC최적화SW 씨클리너(CCleaner) 제조사인 piriform社를 인수(`17.7월)

 

  

주요내용

 

보안업체 Avast社에서는 자체적으로 서버 해킹 정황 확인을 위해 조사 중이라고 발표

- 윈도우 32버전의 CCleaner v5.336162와 CCleaner Cloud v1.07.3191이 악성코드에 감염된 사실 확인

- 공격자는 Symantec社에서 Piriform에 발행한 유효한 디지털 서명을 사용해 악성 설치파일(v.533)에 서명하여 배포

(악성코드 기능) 도메인 생성 알고리즘(Domain Generation Algoritm)를 사용해 공격자의 서버가 다운되더라도 DGA가 새로운 도메인 생성 및 탈취한 개인정보를 공격자의 C&C서버로 전송하는 악성코드 페이로드를 포함

- 악성코드 감염시 컴퓨터이름, OS 업데이트, 설치된 SW 목록, 실행중인 프로세스 전체 목록, IP 및 MAC 주소, 프로세스가 관리자 권한으로 실행 여부 등 정보 탈취

 

시사점

 

CCleaner 소프트웨어 사용자는 5.34 또는 그 이상 버전으로 업데이트 적용

사용자가 많은 소프트웨어의 보안 취약점을 이용한 해킹 등 악성코드 유포 공격이 정교해짐에 따라 최신 버전 소프트웨어, OS 업데이트 유지 및 주기적인 백신 점검이 필요

[출처]

1. http://thehackernews.com/2017/09/ccleaner-hacked-malware.html

2. https://www.bleepingcomputer.com/news/security/ccleaner-compromised-to-distribute-malware-for-almost-a-month/