本周Avast旗下知名系統(tǒng)清理軟體CCleaner被發(fā)現(xiàn)遭植入後門程式，致上億用戶有電腦機(jī)密資料外泄之虞。不過實際情況可能比這更嚴(yán)重；研究人員發(fā)現(xiàn)，其中潛藏的惡意程式已感染200多萬臺電腦，受害者甚至包括微軟、思科、三星，以及微星、友訊、HTC等20家知名公司。

　　透過廣受歡迎的CCleaner 5.33.6162版散布的攻擊程式，是一個2階段下載的APT（Advanced Persistent Threat）攻擊手法，并與外部C&C服務(wù)器建立連結(jié)。Avast Security及Cisco Talos研究人員原本以為還未發(fā)生，但在拿下C&C服務(wù)器取得其資料後分析發(fā)現(xiàn)，它已經(jīng)開始向外擴(kuò)散。

　　Avast指出，在8月15日到9月15日之間全球共227萬臺電腦受到影響。從三天的C&C服務(wù)器紀(jì)錄來看，來自8個組織的20臺電腦收到第2階段的指令，實際收到第2階段命令的電腦數(shù)量可能有數(shù)百臺。

　　Avast研究人員認(rèn)為這波攻擊鎖定臺灣、日本、英國、德國及美國的大型科技業(yè)、電信公司，但不愿意公開揭露名單，僅個別私下通知這些公司。

　　Cisco Talos的研究人員僅采樣9月的4天C&C服務(wù)器連線紀(jì)錄，根據(jù)研究人員貼出的熒幕截圖（下圖，來源：Talos），包括微軟、思科、HTC、微星、友訊、英特爾、VMware、三星、Sony、Google/Gmail等在清單上。

　　從9月12日到15日的4天，C&C服務(wù)器的資料即顯示有超過70萬臺電腦和其連線。電腦中的重要資訊，包括IP位址、上線時間、主機(jī)及網(wǎng)域名稱等都已悄悄傳回外部服務(wù)器，而讓攻擊者決定下一階段準(zhǔn)備攻擊哪些機(jī)器。而這段采樣的時間，至少20臺電腦收到第二階段的指令，顯示是有目標(biāo)性的攻擊行動。

　　研究人員發(fā)現(xiàn)，第2階段攻擊程式相當(dāng)復(fù)雜，目前只知它使用的是另一個C&C控制網(wǎng)絡(luò)，而且包含第3階段的無檔案（fileless）攻擊，會在受害電腦記憶體中注入惡意程式。但因為大量運用反偵錯（anti-debugging）及防模擬的手法隱藏其內(nèi)部架構(gòu)，研究人員正在和執(zhí)法單位還在努力解析中。

　　至於背後攻擊者也還不得而知。但Talos發(fā)現(xiàn)該後門程式部門程式碼和一個與中國有關(guān)的駭客活動有重疊之處，而且從該C&C服務(wù)器使用的時區(qū)研判，可能和中國有關(guān)。