黑客通过VPN攻击知名杀毒工具，破坏内部网络

黑客通过VPN攻击知名杀毒工具，破坏内部网络
2019-10-22 18:59:00 Author: mp.weixin.qq.com(查看原文) 阅读量:76 收藏

VPN（Virtual Private Network）即虚拟专用网络。

作为传输互联网流量的加密隧道，在企业中应用十分广泛。

这也就意味着，一旦VPN出现漏洞，公司的内网资源将受到威胁。

而这次，VPN攻击发生在了杀毒软件巨头Avast公司。

CCleaner是什么？

自从2017年7月收购Piriform以来，CCleaner软件就让捷克网络安全公司Avast头痛。

CCleaner（以前称为Crap Cleaner）是2004年启动的Windows应用程序，在用户卸载旧应用程序后会删除旧的Windows注册表项，以缩小注册表的大小并提高Windows操作系统的速度。

作为一款PC清洁工具，经过多年发展，CCleaner现在支持多种其他功能，例如删除其他应用程序的残留文件，为其他应用程序执行自动更新，甚至阻止广告跟踪器等。该应用程序已下载超过25亿次，并在68个国家拥有4.35亿用户。

图片来源：ZDNet

CCleaner带来巨大用户群的同时也让Avast被黑客盯上。

早在2017年，黑客就通过TeamViewer帐户入侵了Piriform的网络，发布了植入了恶意软件的CCleaner更新，借此可以收集受感染主机的信息，然后将信息发送回黑客的服务器。其中一共有227万用户收到了虚假更新，160万台计算机被感染。

在今年9月，第二波攻击来袭了，这次的目标依然瞄准CCleaner，但方法却有所不同，能够使用临时VPN帐户访问其内部网络。

瞄准CCleaner的VPN攻击

这次攻击被命名为“Abiss”，黑客十分谨慎，以其复杂的过程试图在入侵过程中不留下任何痕迹。

Avast发现，从5月14日以来，攻击者一直试图通过VPN来访问Avast的网络。

为了找寻黑客的行踪，Avast官方一直将临时的VPN配置文件处于开启状态，用于监视和调查黑客的攻击行动。

之后他们发现黑客使用了受损的用户名和密码从公共IP地址入侵到临时VPN账户，以访问公司的内部网络，虽然该账户并没有管理员权限，但黑客成功获得了特权升级进行攻击，并从内部IP恶意复制目录服务。

同时，该临时配置文件还导致用户凭据容易被窃取。

在这次的攻击中，Avast很迅速地加强补救措施以限制损失，不仅暂停了即将发布的CCleaner版本，并开始检查以前的CCleaner版本，以确认没有被黑客进行恶意更改。此外，Avast还禁用并重置所有内部用户凭据。

目前，尚无法确定此次攻击是否与2017年的攻击事件有关，Avast正在与捷克情报局共同监视黑客的行为，以进一步调查。

供应链攻击已成为当今最大的威胁，全球的软件公司都应保持警惕，提高自身功能的同时能够及时发现问题并解决，最大限度地保障用户安全。

* 本文由看雪编辑 LYA 编译自 Threat Post，转载请注明来源及作者。