# CCBkdr > [!high] Backdoor injetado no CCleaner via ataque de supply chain - afetou 2,27 milhões de usuários > CCBkdr foi implantado no instalador legítimo e assinado do CCleaner 5.33 em agosto de 2017, transformando uma ferramenta de limpeza de PC usada por milhões em vetor de comprometimento direcionado ao setor de tecnologia. Atribuído ao grupo chinês **APT17** (Axiom/Aurora Panda). ## Visão Geral CCBkdr é um backdoor que foi implantado por atores de ameaça no executável legítimo do CCleaner versão 5.33.6162, distribuído pelo site oficial da Avast/Piriform entre 15 de agosto e 12 de setembro de 2017. O comprometimento da cadeia de suprimentos ([[t1195-002-compromise-software-supply-chain|T1195.002]]) afetou aproximadamente 2,27 milhões de sistemas - tornando-se um dos maiores ataques de supply chain documentados até aquele momento. A descoberta foi feita pela Cisco Talos em setembro de 2017. Análises posteriores da Intezer identificaram sobreposição de código entre o CCBkdr e amostras anteriores do [[g0025-apt17|APT17]] (Operation Aurora/Axiom), sugerindo que atores de ameaça patrocinados pelo Estado chinês comprometeram o ambiente de build ou repositório de código da Piriform para injetar o backdoor antes da compilação e assinatura digital. O CCBkdr implementa um mecanismo de evasão sofisticado: aguarda 601 segundos antes de iniciar operações, verificando se está sendo executado em ambiente de análise automatizada (sandboxes com timeout curto não detectariam a atividade maliciosa). Após a espera, coleta informações detalhadas do sistema - hostname, DNS domain, processos em execução, aplicações instaladas - e as envia criptografadas e codificadas em Base64 modificado para servidores C2. Se o C2 primário está inacessível, o CCBkdr utiliza um Algoritmo de Geração de Domínios (DGA) ([[t1568-002-domain-generation-algorithms|T1568.002]]) baseado no mês e ano correntes para calcular domínios alternativos, garantindo resiliência da comunicação de comando. A segunda etapa do ataque tinha capacidade de receber um shellcode adicional - possívelmente um keylogger ou payload de exfiltração - do servidor C2, mas essa etapa foi ativada em apenas alguns sistemas de alto interesse no setor de tecnologia. ## Como Funciona ```mermaid graph TB A["📦 CCleaner 5.33<br/>Build server comprometido"] --> B["✅ Assinatura digital<br/>Certificado Piriform legítimo"] B --> C["🌐 Distribuição oficial<br/>ccleaner.com - 2.27M usuários"] C --> D["⏱️ Delay 601s<br/>Evasão de sandbox"] D --> E["🔍 Coleta de dados<br/>Sistema, processos, apps"] E --> F["📡 C2 primário<br/>216.126.225.148"] F --> G["🔄 DGA fallback<br/>Domínio mensal se C2 falha"] G --> H["💉 Stage 2<br/>Shellcode adicional para alvos VIP"] ``` ## Análise Técnica O CCBkdr modifica a função `__scrt_common_main_seh` do executável legítimo para desviar o fluxo de execução antes mesmo do entry point normal da aplicação. O payload é decodificado em memória usando um esquema de XOR com chave derivada de `GetTickCount()` para resistência à análise estática. **Dados coletados e enviados ao C2:** - Nome do computador e domínio DNS - Lista de processos em execução - Aplicações instaladas (excluindo produtos Microsoft) - Endereço MAC e configuração de rede - Hora e identificador único gerado localmente **DGA:** Baseado em mês/ano, gerando um domínio por mês. O IP real do C2 é calculado a partir dos registros A do domínio DGA (16 bits em cada registro A), técnica que dificulta bloqueio por listas negras de IP. ## Detecção e Defesa **Indicadores comportamentais:** - Processo CCleaner estabelecendo conexão de rede logo após instalação (comportamento anômalo para uma ferramenta de limpeza local) - Acesso ao registro `HKLM\SOFTWARE\Piriform\Agomo` por processos não relacionados - Tráfego de saída em Base64 modificado para IPs externos por processo de limpeza de sistema **Mitigação:** - Monitorar integridade de binários instalados comparando hashes contra valores esperados - Implementar EDR com análise comportamental que detecte comunicação de rede por aplicações utilitárias - Adotar práticas de gestão de supply chain de software: verificar hashes antes de distribuição em ambientes corporativos ## Relevância LATAM/Brasil O CCleaner é amplamente utilizado no Brasil por técnicos de informática, empresas de pequeno porte e usuários domésticos. O evento CCBkdr de 2017 demonstrou que ataques de supply chain contra ferramentas amplamente distribuídas podem comprometer simultaneamente milhões de sistemas, incluindo redes corporativas brasileiras que utilizavam o software. O modelo de ataque - comprometer o pipeline de build do fornecedor para distribuir malware assinado - foi replicado em ataques subsequentes como o de [[solarwinds-supply-chain|SolarWinds]] (2020) e [[3cx-supply-chain|3CX]] (2023), ambos de alto impacto global. ## Referências - [MITRE ATT&CK - S0222](https://attack.mitre.org/software/S0222) - [Talos Intelligence - CCleanup: A Vast Number of Machines at Risk](https://blog.talosintelligence.com/avast-distributes-malware/) - Setembro 2017 - [CrowdStrike - CCleaner Backdoor Analysis](https://www.crowdstrike.com/en-us/blog/protecting-software-supply-chain-deep-insights-ccleaner-backdoor/) - Setembro 2017 - [Intezer - Evidence Aurora Operation Still Active](https://intezer.com/blog/evidence-aurora-operation-still-active-supply-chain-attack-through-ccleaner/) - Setembro 2017