前言

捷克知名杀软公司AVAST（爱维士），2017年收购了CCleaner母公司Piriform

2017年9月18日,著名的系统优化工具CCleaner的某个版本被发现植入后门，巧合的是那一天刚好正在两家公司业务交接。

正文

两年后，2019年9月23日，AVAST在其公司网络中发现了可疑行为，并立即发起调查，并且还与捷克情报机构，安全信息服务（BIS），捷克地方警察网络安全部门以及外部法证团队合作，以提供其他工具来协助调查工作并验证收集的证据。

而收集的证据指向2019年10月1日在MS ATA/VPN上的活动，分析人员在分析MS ATA告警时，发现告警是从属于AVAST公司VPN地址范围的内部IP，触发恶意复制目录服务从而导致告警。

黑鸟注释：MS ATA = Microsoft Advanced Threat Analytics 微软高级威胁分析，可见关键时刻上的还是微软父亲的产品。

然后该告警最初被视为误报，可想而知，黑鸟认为不要怀疑每一个内网的告警，毕竟像这么大的一家安全公司，使用自家的安全防护设备，在判断误报行为都会出错，何况不是生产安全防护设备的公司。

而该被窃取的用户凭据显然已受到攻击，并可以与该内部IP相关联，但是该账号并没有域管理员权限。但是，在提权成功后，攻击者是可以设法获得域管理员权限的。

而内网IP连接外网的IP是通过英国以外的公共IP建立的，并且攻击者还通过与该公司使用同一个VPN提供商来搭建外联IP作为跳板。

在分析外部IP时，他们发现攻击者早在2019年5月14日就试图通过他们的VPN来访问网络。

经过进一步分析，他们发现内部网络已通过临时VPN配置文件成功使用凭据进行访问，该配置文件错误地保持启用状态，并且不需要二次认证。

10月4日，他们再次观察到了这一活动。MS ATA标记的可疑活动的时间戳为（所有时间均为GMT + 2）：

2019年5月14日凌晨2:00

2019年5月15日4:36

2019年5月15日晚上11:06

2019年7月24日下午3:35

2019年7月24日下午3:45

2019年9月11日下午3:20

2019年10月4日上午11:57

日志进一步显示，临时配置文件已被多组用户凭据使用，分析人员认为登陆VPN的用户的凭据因此均被盗窃。

为了跟踪攻击者，他们一直打开临时VPN配置文件，继续监视和调查通过该配置文件进行的所有访问，直到他们准备采取补救措施为止。

黑鸟认为这个钓鱼执法实际上是正确的，防止打草惊蛇。

在确认开始补救后，由于此前CCleaner就被人入侵并植入后门，因此他们仍认为本次攻击者目标仍然是CCleaner，因此为了阻止供应链攻击的发生，他们在9月25日，停止了即将发布的CCleaner版本，并开始检查以前的CCleaner版本，确认没有进行任何恶意更改。

紧接着，他们重新签名了该产品的以保证完整更新，并于10月15日通过自动更新将其发布给用户，其次，他们吊销了以前的证书。

上面这套流程，对于在防止供应链攻击可以起到一点作用。

最后，为了稳住用户的心，AVAST公布了自己被入侵的事实，并且详细说明自己公司的补救措施，这点比一些公司被入侵了还藏着捂着(没错我就是在说Teamviewer)要好太多。

总结来说，公司的所有入口都要排查安全性，特别是这种居然还留有VPN临时配置文件可被使用的情况尤其注意。

从黑鸟小号转载，有需要赶紧过去冲鸭！

▲扫码关注，感激老铁

点个赞，每日一个威胁情报故事