Avast公司公布了CCleaner第二階段惡意軟件影響企業的完整清單，而這項工作正是上周發生的CCleaner攻擊活動持續調查的重要組成部分。

發現第二臺攻擊者使用的服務器

Avast公司之所以能夠整理出這份受影響企業的完整清單，是因為其成功在上周末發現了攻擊者使用的第二臺服務器。

上周五，Avast公司發布了關于CCleaner黑客攻擊活動的調查更新結果，并表示其已經掌握了CCleaner惡意軟件發送受感染主機信息時所使用的服務器數據庫。但遺憾的是，該服務器數據庫當中所包含的信息僅囊括今年9月12日至9月16日期間的受感染用戶。Avast方面指出，由于存儲容量不足，該容納受感染用戶信息的數據庫于9月10日發生崩潰。

黑客們于9月12日安裝了一臺新服務器，Avast公司則在執法機構的幫助之下于9月15日將其發現。這臺主服務器的IP地址為 216.126.x.x（我們在這里特意隱去了最后兩部分）。

備份數據庫的服務器被發現

Avast方面表示在經過進一步挖掘之后，他們找到了第二臺被用于進行原始數據庫備份的服務器，且其中存儲的內容源自起始到重新安裝主服務器這一時間范圍。

Avast公司指出，這第二臺服務器的IP地址為216.126.x.x，與第一臺服務器擁有同樣的托管服務商。該托管服務商ServerCrate公司向Avast提供了與第二臺服務器相關的信息及支持。因此，調查人員們現在掌握了一份受CCleaner惡意軟件影響的各主機的完整清單包括第一與第二階段（但不包括該服務器遭遇中斷的40小時時間窗口）。

已確認受感染的設備數量為1646536臺

黑客方面于今年7月入侵CCleaner基礎設施，并在8月15日到9月12日之間致使CCleaner官方網站交付已受惡意軟件感染的應用版本。Avast公司指出，在這一時間段，全球共有227萬用戶下載該CCleaner應用的惡意版本。

而根據兩套C&C服務器數據庫中提供的數據，即報告回該C&C服務器的次數，Avast方面斷言Floxif第一階段惡意軟件的感染計算機總量為164萬6536臺。

第二階段惡意載荷共感染40臺計算機

惡意攻擊的第二階段，一款輕量級后門負責“從github.com或者wordpress.com搜索相關數據當中檢索一條IP”，并進一步在目標系統上下載更多惡意軟件。

上周，Avast與思科雙方指出，僅有20臺計算機受到第二階段惡意軟件影響。經過嚴格的過濾，Avast公司又發現另外20臺受到第二階段影響的設備。也就是說這些C&C服務器總共僅向160萬臺受感染計算機當中的40臺發送了第二階段惡意軟件（輕量級后門）。

而Avast公司在今天發布的表格中透露了各企業受到感染的情況，具體如下所示：

根據以上表格，大多數受感染主機——總計13臺計算機——位于中國臺灣地區的互聯網服務供應商中華電信的網絡上。占比位列第二的是日本IT廠商NEC公司，感染計算機數量為10臺；而三星公司被感染的設備數量為5臺。

華碩、富士通以及索尼公司各有兩臺計算機感染了第二階段惡意載荷，而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特爾以及VMware公司處各發現了一臺受感染計算機。

以上表格僅列出了成功感染案例。事實上，該C&C服務器被用于對特定網絡進行過濾，從而有針對性地對目標進行感染。

上周檢獲的服務器過濾規則所針對的企業包括谷歌、微軟、HTC、三星、英特爾、索尼、VMware、O2、沃達豐、Linksys、愛普生、微星、Akamai、DLink、甲骨文（Dyn）、Gauselmann以及Singtel等。

來自備份服務器的過濾規則顯示，在今年9月10日之前，攻擊者們還曾經使用一份有所區別的攻擊目標清單，其中包含HTC、Linksys、愛普生、沃達豐、微軟、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。

研究人員們指出，以上過濾條件僅為備份時的版本。而在今年8月15日到9月10日之間，攻擊者們很可能曾將矛頭指向其它企業。

Avast提出幕后黑手為中國APT的理論

另外，Avast公司確認其發現相關證據，能夠將攻擊方與中國聯系起來。卡巴斯基與思科也曾在上周發布類似的觀點，暗示稱此輪攻擊可能與Axiom（ APT17）有所關聯。

具體線索則包括在C&C服務器上發現的PHP代碼、myPhpAdmin日志以及與以往Axiom惡意軟件類似的特定代碼片段等等。

Avast公司同時指出，在對兩臺服務器上的登錄記錄進行全面分析之后，發現登錄活動模式符合俄羅斯東部、中國以及印度時區的作息時間。

但盡管如此，歸因工作仍然難度極大。Avast公司解釋稱，“這一切跡象的核心難題在于，相關證據都極易進行偽造。因此，攻擊者可能打算借此提升調查工作難度，從而隱藏真正的攻擊源頭。”

時間線

隨著新信息的出現，以下是最新事件時間表。

7月3日 攻擊者入侵Piriform基礎設施。

7月19日 Avast公司宣布收購Piriform，即CCleaner背后的開發商。

7月31日, 06:32 攻擊者安裝C&C服務器。

8月11日，07:36 攻擊者啟動數據收集規程的籌備工作，旨在為8月15日的CCleaner二進制代碼感染與隨后的CCleaner Cloud二進制代碼感染作好準備。

8月15日 Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.

8月20日到21日 Morphisec公司的安全產品檢測并阻止首例CCleaner惡意活動實例，但卻未能發現這起活動重要內幕。

8月24日 Piriform公司發布CCLeaner Cloud v1.07.3191，其中同樣包含有Floxif木馬。

9月10日 20:59 C&C服務器存儲空間不足，因此數據收集亦告停止。攻擊者對原始數據庫進行了備份。

9月 11日 Morphisec公司客戶與該公司工程師們共享了與CCleaner相關的惡意活動日志細節。

9月12日 07:56 攻擊者擦除C&C服務器。

9月 12 日08:02 攻擊者重新安裝C&C服務器。

9月12日 Morphisec公司向Avast與思科通報了CCleaner的可疑活動。Avast方面立即開始調查，并向美國執行機構發出通告。思科公司也很快組織起自己的調查工作。

9月14日 思科公司向Avast公布其調查結果。

9月15日 當局發現C&C服務器。

9月15日 Avast公司發布CCleaner 5.34與CCleaner Cloud 1.07.3214兩套清潔版本。

9月18日 CCleaner事件伴隨著思科、Morphisec以及Avast/Piriform報告的發布而正式公開。

9月（具體未知） ServerCrate公司為Avast提供一套備份服務器副本。

Avast公司還在其最新報告當中發布了一份IOC（入侵指標）修訂清單。各位系統管理員可以利用這些IOC搜索，了解自身網絡的感染狀況。