Avast公司公布了CCleaner第二阶段恶意软件影响企业的完整清单，而这项工作正是上周发生的CCleaner攻击活动持续调查的重要组成部分。

Avast公司之所以能够整理出这份受影响企业的完整清单，是因为其成功在上周末发现了攻击者使用的第二台服务器。

上周五，Avast公司发布了关于CCleaner黑客攻击活动的调查更新结果，并表示其已经掌握了CCleaner恶意软件发送受感染主机信息时所使用的服务器数据库。但遗憾的是，该服务器数据库当中所包含的信息仅囊括今年9月12日至9月16日期间的受感染用户。Avast方面指出，由于存储容量不足，该容纳受感染用户信息的数据库于9月10日发生崩溃。

黑客们于9月12日安装了一台新服务器，Avast公司则在执法机构的帮助之下于9月15日将其发现。这台主服务器的IP地址为 216.126.x.x（我们在这里特意隐去了最后两部分）。

Avast方面表示在经过进一步挖掘之后，他们找到了第二台被用于进行原始数据库备份的服务器，且其中存储的内容源自起始到重新安装主服务器这一时间范围。

Avast公司指出，这第二台服务器的IP地址为216.126.x.x，与第一台服务器拥有同样的托管服务商。该托管服务商ServerCrate公司向Avast提供了与第二台服务器相关的信息及支持。因此，调查人员们现在掌握了一份受CCleaner恶意软件影响的各主机的完整清单包括第一与第二阶段（但不包括该服务器遭遇中断的40小时时间窗口）。

黑客方面于今年7月入侵CCleaner基础设施，并在8月15日到9月12日之间致使CCleaner官方网站交付已受恶意软件感染的应用版本。Avast公司指出，在这一时间段，全球共有227万用户下载该CCleaner应用的恶意版本。

而根据两套C&C服务器数据库中提供的数据，即报告回该C&C服务器的次数，Avast方面断言Floxif第一阶段恶意软件的感染计算机总量为164万6536台。

恶意攻击的第二阶段，一款轻量级后门负责“从github.com或者wordpress.com搜索相关数据当中检索一条IP”，并进一步在目标系统上下载更多恶意软件。

上周，Avast与思科双方指出，仅有20台计算机受到第二阶段恶意软件影响。经过严格的过滤，Avast公司又发现另外20台受到第二阶段影响的设备。也就是说这些C&C服务器总共仅向160万台受感染计算机当中的40台发送了第二阶段恶意软件（轻量级后门）。

而Avast公司在今天发布的表格中透露了各企业受到感染的情况，具体如下所示：

根据以上表格，大多数受感染主机——总计13台计算机——位于中国台湾地区的互联网服务供应商中华电信的网络上。占比位列第二的是日本IT厂商NEC公司，感染计算机数量为10台；而三星公司被感染的设备数量为5台。

华硕、富士通以及索尼公司各有两台计算机感染了第二阶段恶意载荷，而Avast方面在IPAddress.com、O2、Gauselmann、Singtel、英特尔以及VMware公司处各发现了一台受感染计算机。

以上表格仅列出了成功感染案例。事实上，该C&C服务器被用于对特定网络进行过滤，从而有针对性地对目标进行感染。

上周检获的服务器过滤规则所针对的企业包括谷歌、微软、HTC、三星、英特尔、索尼、VMware、O2、沃达丰、Linksys、爱普生、微星、Akamai、DLink、甲骨文（Dyn）、Gauselmann以及Singtel等。

来自备份服务器的过滤规则显示，在今年9月10日之前，攻击者们还曾经使用一份有所区别的攻击目标清单，其中包含HTC、Linksys、爱普生、沃达丰、微软、DLink、Gmail、Akamai、微星、思科、Cyberdyne、Tactical Technologies以及GoDaddy等。

研究人员们指出，以上过滤条件仅为备份时的版本。而在今年8月15日到9月10日之间，攻击者们很可能曾将矛头指向其它企业。

另外，Avast公司确认其发现相关证据，能够将攻击方与中国联系起来。卡巴斯基与思科也曾在上周发布类似的观点，暗示称此轮攻击可能与Axiom（ APT17）有所关联。

具体线索则包括在C&C服务器上发现的PHP代码、myPhpAdmin日志以及与以往Axiom恶意软件类似的特定代码片段等等。

Avast公司同时指出，在对两台服务器上的登录记录进行全面分析之后，发现登录活动模式符合俄罗斯东部、中国以及印度时区的作息时间。

但尽管如此，归因工作仍然难度极大。Avast公司解释称，“这一切迹象的核心难题在于，相关证据都极易进行伪造。因此，攻击者可能打算借此提升调查工作难度，从而隐藏真正的攻击源头。”

时间线

随着新信息的出现，以下是最新事件时间表。

7月3日 攻击者入侵Piriform基础设施。

7月19日 Avast公司宣布收购Piriform，即CCleaner背后的开发商。

7月31日, 06:32 攻击者安装C&C服务器。

8月11日，07:36 攻击者启动数据收集规程的筹备工作，旨在为8月15日的CCleaner二进制代码感染与随后的CCleaner Cloud二进制代码感染作好准备。

8月15日 Piriform, now part of Avast, releases CCleaner 5.33. The CCleaner 5.33.6162 version was infected with (the Floxif) malware.

8月20日到21日 Morphisec公司的安全产品检测并阻止首例CCleaner恶意活动实例，但却未能发现这起活动重要内幕。

8月24日 Piriform公司发布CCLeaner Cloud v1.07.3191，其中同样包含有Floxif木马。

9月10日 20:59 C&C服务器存储空间不足，因此数据收集亦告停止。攻击者对原始数据库进行了备份。

9月 11日 Morphisec公司客户与该公司工程师们共享了与CCleaner相关的恶意活动日志细节。

9月12日 07:56 攻击者擦除C&C服务器。

9月 12 日08:02 攻击者重新安装C&C服务器。

9月12日 Morphisec公司向Avast与思科通报了CCleaner的可疑活动。Avast方面立即开始调查，并向美国执行机构发出通告。思科公司也很快组织起自己的调查工作。

9月14日 思科公司向Avast公布其调查结果。

9月15日 当局发现C&C服务器。

9月15日 Avast公司发布CCleaner 5.34与CCleaner Cloud 1.07.3214两套清洁版本。

9月18日 CCleaner事件伴随着思科、Morphisec以及Avast/Piriform报告的发布而正式公开。

9月（具体未知） ServerCrate公司为Avast提供一套备份服务器副本。

Avast公司还在其最新报告当中发布了一份IOC（入侵指标）修订清单。各位系统管理员可以利用这些IOC搜索，了解自身网络的感染状况。