จากข่าว เซิร์ฟเวอร์ CCleaner ถูกแฮ็ก โปรแกรมถูกฝังมัลแวร์ ตอนนี้เริ่มมีรายละเอียดของมัลแวร์ตัวนี้ออกมาว่ามันไม่ธรรมดา เพราะมันถูกออกแบบเพื่อตั้งใจโจมตีคอมพิวเตอร์ภายในบริษัทใหญ่ๆ อย่าง Intel, HTC, Samsung, Sony, Microsoft, Cisco ด้วย
รายละเอียดเรื่องนี้มาจาก Cisco Talos หน่วยวิเคราะห์ข้อมูลด้านความปลอดภัยของ Cisco ที่เป็นบริษัทหนึ่งที่ค้นพบมัลแวร์ตัวนี้และแจ้งไปยัง Piriform บริษัทผู้พัฒนา CCleaner (ปัจจุบันเป็นบริษัทลูกของ Avast)
Talos บอกว่าพบทราฟฟิกผิดปกติจากระบบตรวจสอบ exploit detection ตัวใหม่ พอสอบสวนแล้วพบว่ามาจาก CCleaner v5.33 ซึ่งมีต้นทางมาจากเซิร์ฟเวอร์ของ CCleaner โดยตรง และตัวไฟล์ถูก sign ด้วยใบรับรองดิจิทัลอย่างถูกต้องด้วย นั่นแปลว่า CCleaner ถูกเจาะตั้งแต่ก่อนกระบวนการ sign ด้วยซ้ำ
มัลแวร์ตัวนี้จะดึงข้อมูลในคอมพิวเตอร์แล้วส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (ในวงการเรียกกันว่า Command and Control หรือ C2) สิ่งที่น่าสนใจคือมัลแวร์จะส่งข้อมูลกลับไปยังหมายเลขไอพีอันหนึ่ง แต่ถ้าไม่ได้รับการตอบกลับ (เซิร์ฟเวอร์อาจถูกสั่งปิด) มันมีฟีเจอร์ชื่อ Domain Generation Algorithm ที่ส่งข้อมูลไปยังโดเมนเนมแบบสุ่มตามเวลา
อัลอริทึม Domain Generation Algorithm จะใช้ตัวเลขปี-เดือน เข้ามาเป็นอินพุตเพื่อสร้างโดเมนเนมขึ้นมาใหม่ (ไม่ hardcode เพื่อให้แอนตี้ไวรัสจับได้) ดังนั้นในแต่ละเดือน มัลแวร์จะส่งข้อมูลกลับไปยังโดเมนคนละอันกันเพื่อหลบเลี่ยงการตรวจจับ
จากสถิติของ Cisco Umbrella ระบบมอนิเตอร์ทราฟฟิกอินเทอร์เน็ตของ Cisco จะเห็นว่าทราฟฟิกของโดเมนในเดือนสิงหาคม จะมีเฉพาะแค่เดือนสิงหาคม พอเปลี่ยนเป็นเดือนกันยายนแล้วก็เปลี่ยนมาใช้โดเมนอีกตัวแทน
นอกจากตัวมัลแวร์แล้ว ภายหลัง Cisco Talos ยังได้ข้อมูลจากเซิร์ฟเวอร์ C2 ของมัลแวร์ตัวนี้ (Talos ไม่ระบุว่าได้ข้อมูลมาอย่างไร บอกเพียงว่าตอนแรกไม่แน่ใจว่าเป็นไฟล์ของแท้ แต่ภายหลังคิดว่าน่าจะใช่) และพบว่ามีระบุ DomainList ที่แฮ็กเกอร์พยายามโจมตีด้วย ซึ่งในจำนวนนี้ก็มีโดเมนของบริษัทดังๆ อย่าง Singtel, HTC, Samsung, Sony, VMware, Intel, Microsoft, O2, Vodafone, Epson, MSI, DLink, Gmail รวมถึง Cisco เองด้วย แสดงให้เห็นว่าแฮ็กเกอร์มีความตั้งใจปล่อยมัลแวร์ตัวนี้ เพื่อไปดึงข้อมูลสำคัญจากเครื่องคอมพิวเตอร์ในเครือข่ายของบริษัทเหล่านี้
ที่มา - Cisco Talos (1), Cisco Talos (2)