Onlangs werd duidelijk dat een versie van het populaire computer onderhoudsprogramma Ccleaner ongeveer een maand lang malware in de vorm van een backdoor bevatte. Door deze versie van Ccleaner te installeren werd er ook een ander programma geïnstalleerd, dat derden toegang gaf tot de systemen van deze Ccleaner gebruikers.
Ccleaner?
CCleaner (voorheen Crap Cleaner) is een freeware-programma gemaakt door Piriform om computers te onderhouden die werken onder Windows en OS X. Het programma probeert het systeem “schoon” te maken door het opsporen en verwijderen van overbodige, ongebruikte of ongeldige bestanden.
CCleaner kan programma’s, (systeem)herstelpunten (aangemaakt – ten behoeve van – Windows Systeemherstel), tijdelijke bestanden en incorrecte registersleutels verwijderen. Verder is er ook een functie om programma’s uit te schakelen die starten bij het opstarten van Windows. Ook is er een signaleringsoptie voor dubbele bestanden beschikbaar. Men kan vrije ruimte wissen door deze te overschrijven met betekenisloze data. Daardoor verdwijnen gegevens definitief welke niet fysiek door het standaardproces van verwijderen weggehaald worden.
Malware bestond uit twee componenten
Onderzoekers hebben ontdekt dat de geïnfecteerde versie van CCleaner een backdoor bevatte, die uit twee componenten bestaat. De eerste component had als doel om informatie over het geïnfecteerde systeem te verzamelen en deze terug te sturen naar een command and control-server in het beheer van de aanvallers. Daarbij ging het om informatie als de naam van de computer, draaiende processen, geïnstalleerde software en de mac-adressen van de eerste drie netwerkadapters.
De malware was in staat om vervolgens een tweede component binnen te halen en code uit te voeren. Cisco’s beveiligingsonderdeel Talos, dat de malware naar eigen zeggen ontdekte, meldt niet precies wat de mogelijkheden ervan zijn, maar schrijft alleen dat ‘het uitvoeren van verschillende kwaadaardige acties’ mogelijk was. Onderzoekers claimen echter dat er geen aanwijzingen zijn dat de payload van de tweede component daadwerkelijk is uitgevoerd en claimt dat activatie ervan ‘zeer onwaarschijnlijk is’. Onduidelijk is nog waarom zij dit schrijven.
De onderzoekers vermelden dat de code van de malware erop was gericht om detectie te voorkomen of in ieder geval te bemoeilijken. In analyses is te lezen dat het aannemelijk is dat de aanvallers toegang moeten hebben gehad tot de ontwikkelomgeving van Piriform om zo de kwaadaardige code aan de installer toe te voegen. Er was een geldig certificaat voor de installer aanwezig.
Informatiebeveiliging is een keten
De eerste les die we uit dit incident kunnen leren, is dat informatieveiligheid bepaald wordt door een keten. Bestanden worden ergens ontwikkeld en weer ergens anders gehost. Daarnaast worden bestanden via diverse internetproviders verplaatst naar de computer van de downloadende persoon. Op elk van die plekken kan er iets gebeuren dat ervoor zorgt dat het bestand wordt gecompromitteerd.
Doordat de aanvallers de certificaten van de software op orde hadden en doordat Ccleaner zo’n populaire, en dus door veel mensen vertrouwde tool is, werd de software door veel mensen gedownload. Anti-virus ontwikkelaar Avast schat dat zo’n 2,2 miljoen gebruikers de kwaadaardige versies hebben geïnstalleerd. De aanvallers hebben misbruik gemaakt van het vertrouwen dat deze gebruikers in Ccleaner hadden (en nog hebben?).
Gratis, dus geen garanties
Ccleaner is een gratis product. Dat betekent dat de ontwikkelaar ervan de software om niet ter beschikking stelt. Een belangrijke vraag is hoe je dan voor de dienst betaalt? Welke informatie heeft Ccleaner van je computer en jouzelf? Wat gebeurt er met die gegevens?
Daarnaast betekent gratis ook dat er geen garanties, SLA of ondersteuning is. De getroffen gebruikers hebben in veel gevallen hun pc opnieuw moeten installeren, hetgeen tijd en productiviteit gekost heeft. De kosten die daarmee gemoeid zijn, of de inkomstenderving die daar het gevolg van is, zijn nergens te verhalen.
Advies
Wees bijzonder kritisch op het gebruik van applicaties op je computer, maar ook op apps op je smartphone. Zeker wanneer de software of app gratis is!
Bronnen
https://nl.wikipedia.org/wiki/CCleaner
https://tweakers.net/nieuws/129697/ccleaner-installer-bevatte-een-maand-lang-backdoor.html
http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users