Các cuộc tấn công chuỗi cung ứng là một cách rất hiệu quả để phân phối phần mềm độc hại vào các tổ chức mục tiêu. Điều này là do với các cuộc tấn công chuỗi cung ứng, kẻ tấn công đang dựa vào mối quan hệ tin cậy giữa nhà sản xuất hoặc nhà cung cấp và khách hàng. Mối quan hệ tin tưởng này sau đó bị lạm dụng để tấn công các tổ chức và cá nhân và có thể được thực hiện vì một số lý do khác nhau. Các Nyetya sâu đã được phát hành vào hoang dã trước đó vào năm 2017 chỉ cho thấy làm thế nào có hiệu lực các loại tấn công có thể được.
Thông thường, như với Nyetya, vec tơ nhiễm trùng ban đầu có thể vẫn không thể tránh khỏi trong một thời gian. May mắn với các công cụ như AMP khả năng hiển thị bổ sung có thể thường giúp chú ý trực tiếp đến vector ban đầu. Talos gần đây đã quan sát một trường hợp mà các máy chủ tải về được sử dụng bởi nhà cung cấp phần mềm để phân phối một gói phần mềm hợp pháp đã được tận dụng để cung cấp phần mềm độc hại cho các nạn nhân không nghi ngờ.
Trong một khoảng thời gian, phiên bản CCleaner 5.33 đã được hợp pháp hóa đã được phân phối bởi Avast cũng chứa một tải trọng phần mềm độc hại nhiều giai đoạn mà đã leo lên hàng đầu của việc cài đặt CCleaner. CCleaner khoe khoang hơn 2 tỷ lượt tải xuống vào tháng 11 năm 2016 với tốc độ tăng thêm 5 triệu người dùng mỗi tuần. Do những thiệt hại tiềm ẩn có thể xảy ra bởi một mạng máy tính bị nhiễm ngay cả một phần nhỏ trong kích thước này chúng tôi quyết định di chuyển nhanh chóng. Vào ngày 13 tháng 9 năm 2017, Cisco Talos đã thông báo ngay cho Avast những phát hiện của chúng tôi để họ có thể bắt đầu các hoạt động ứng phó thích hợp. Các phần sau sẽ thảo luận chi tiết cụ thể về cuộc tấn công này.
Thông tin chi tiết mã độc Malware trên CCleaner
CCleaner là một ứng dụng cho phép người dùng thực hiện bảo trì định kỳ trên hệ thống của họ. Nó bao gồm các chức năng như dọn dẹp các tệp tạm thời, phân tích hệ thống để xác định cách hiệu suất có thể được tối ưu hóa và cung cấp một cách sắp xếp hợp lý hơn để quản lý ứng dụng được cài đặt.
Ngày 13 tháng 9 năm 2017 khi tiến hành thử nghiệm beta khách hàng về công nghệ phát hiện khai thác mới của chúng tôi, Cisco Talos đã xác định được một tệp thực thi cụ thể đã kích hoạt các hệ thống chống phần mềm độc hại tiên tiến của chúng tôi. Khi kiểm tra chặt chẽ hơn, thực thi được đề cập đến là trình cài đặt cho CCleaner v5.33, được gửi tới các thiết bị đầu cuối bởi các máy chủ tải về hợp pháp của CCleaner. Talos bắt đầu phân tích ban đầu để xác định cái gì đã gây ra công nghệ này để gắn cờ CCleaner. Chúng tôi xác định rằng mặc dù bản thực thi cài đặt đã tải xuống đã được ký bằng chữ ký số hợp lệ được cấp cho Piriform nhưng CCleaner không phải là ứng dụng duy nhất có trong quá trình tải xuống. Trong quá trình cài đặt CCleaner 5,33, bộ nhị phân CCleaner 32-bit đã được bao gồm cũng chứa một tải trọng độc hại có tính năng DGA (Domain Generation Algorithm) cũng như chức năng Command and Control (C2) đã được mã hóa.
Chúng tôi xác nhận rằng phiên bản độc hại này của CCleaner đã được lưu trữ trực tiếp trên máy chủ tải xuống của CCleaner gần đây là vào ngày 11 tháng 9 năm 2017. Khi xem lại trang Lịch sử Phiên bản trên trang tải xuống CCleaner, có vẻ như phiên bản bị ảnh hưởng (5.33) đã được phát hành vào ngày 15 tháng 8 năm 2017. Vào ngày 12 tháng 9 năm 2017 phiên bản 5.34 đã được phát hành. Phiên bản chứa tải trọng độc hại (5,33) đang được phân phối giữa những ngày này. Phiên bản này đã được ký kết bằng cách sử dụng một chứng chỉ hợp lệ đã được cấp cho Piriform Ltd bởi Symantec và có hiệu lực đến 10/10/2018. Piriform là công ty mà Avast đã mua lại và là công ty ban đầu đã phát triển ứng dụng phần mềm CCleaner.
Một mẫu thứ hai liên quan đến mối đe dọa này đã được phát hiện. Mẫu thứ hai này cũng được ký bằng chứng chỉ số kỹ thuật số hợp lệ, tuy nhiên dấu thời gian ký kết là khoảng 15 phút sau khi mẫu đầu tiên được ký kết. Sự có mặt của một chữ ký số hợp lệ trên mã nhị phân CCleaner nguy hiểm có thể là dấu hiệu của một vấn đề lớn hơn dẫn đến một phần của quá trình phát triển hoặc quá trình ký kết bị xâm nhập. Giấy chứng nhận này nên được thu hồi và không đáng tin cậy để chuyển tiếp. Khi tạo ra một chăm sóc cert mới phải được thực hiện để đảm bảo kẻ tấn công không có chỗ đứng trong môi trường mà để thỏa hiệp chứng chỉ mới. Chỉ có quá trình phản hồi sự cố có thể cung cấp chi tiết về phạm vi của vấn đề này và cách giải quyết nó tốt nhất.
Điều thú vị là các tác phẩm biên dịch sau đây đã được tìm thấy trong bộ nhị phân CCleaner mà Talos phân tích:
S: \ workspace \ ccleaner \ branches \ v5.33 \ bin \ CCleaner \ Release \ CCleaner.pdb
Với sự hiện diện của tác phẩm biên soạn này cũng như thực tế là tệp nhị phân được ký bằng kỹ thuật số sử dụng chứng chỉ hợp lệ cấp cho nhà phát triển phần mềm, có thể một kẻ tấn công bên ngoài đã xâm nhập một phần phát triển của họ hoặc xây dựng môi trường và tận dụng quyền truy cập vào chèn malware vào phiên bản CCleaner được phát hành và lưu trữ bởi tổ chức. Cũng có thể là người trong cuộc truy cập vào môi trường phát triển hoặc xây dựng bên trong tổ chức đã cố ý bao gồm mã độc hại hoặc có thể đã bị xâm nhập (hoặc tương tự) đã cho phép kẻ tấn công đưa mã vào. Cũng cần lưu ý rằng mặc dù các phiên bản trước của trình cài đặt CCleaner hiện vẫn khả dụng trên máy chủ tải xuống, phiên bản chứa các tải trọng nguy hiểm đã bị xóa và không còn nữa.
Cài đặt và vận hành MALWARE trong CCleaner
Trong CCleaner v5.33 32 bit có trong trình cài đặt CCleaner v5.33 hợp pháp, ‘__scrt_get_dyn_tls_init_callback’ đã được sửa đổi để gọi tới mã tại CC_InfectionBase (0x0040102C). Điều này được thực hiện để chuyển hướng luồng thực hiện mã trong mã nhị phân CCleaner tới mã độc hại trước khi tiếp tục các hoạt động CCleaner thông thường. Mã được gọi là có trách nhiệm giải mã dữ liệu có chứa hai giai đoạn tải trọng nguy hiểm, một trình nạp PE (Mã độc lập vị trí độc lập) cũng như một tệp tin DLL có hiệu quả hoạt động như là tải trọng phần mềm độc hại. Tác giả phần mềm độc hại đã cố gắng giảm sự phát hiện của DLL độc hại bằng cách đảm bảo IMAGE_DOS_HEADER đã được loại bỏ, cho thấy kẻ tấn công này đang cố gắng duy trì chế độ radar để phát hiện bình thường. Các nhị phân sau đó tạo ra một heap thực thi bằng cách sử dụng HeapCreate (HEAP_CREATE_ENABLE_EXECUTE, 0,0). Không gian sau đó được phân bổ cho heap mới này, nơi mà các nội dung của dữ liệu được giải mã có chứa phần mềm độc hại được sao chép. Khi dữ liệu được sao chép vào đống, dữ liệu nguồn sẽ bị xóa.
Trình nạp PE sau đó được gọi và bắt đầu hoạt động. Một khi quá trình lây nhiễm đã được bắt đầu, nhị phân xóa các vùng bộ nhớ chứa trước PE loader và tệp DLL, giải phóng bộ nhớ được phân bổ trước đó, phá hủy heap và tiếp tục với các hoạt động CCleaner bình thường. Bộ nạp PE sử dụng các thực tiễn mã hoá độc lập theo vị trí để xác định vị trí tệp DLL trong bộ nhớ. Sau đó, ánh xạ DLL vào bộ nhớ thực thi, gọi DLLEntryPoint để bắt đầu thực thi DLL được tải và mã nhị phân CCleaner vẫn tiếp tục như bình thường. Khi điều này xảy ra, phần mềm độc hại bắt đầu thực hiện đầy đủ, sau quá trình được phác thảo trong các phần sau.
CBkrdr.dll
Các tập tin DLL (CBkdr.dll) đã được sửa đổi trong một nỗ lực để tránh các phát hiện và có IMAGE_DOS_HEADER zeroed ra. DLLEntryPoint tạo ra một thread thực hiện sao cho bộ điều khiển có thể được trả về bộ nạp. Chủ đề này có trách nhiệm gọi CCBkdr_GetShellcodeFromC2AndCall. Nó cũng thiết lập một chuỗi ROP Lập trình Quay trở lại (ROP) được sử dụng để deallocate bộ nhớ liên quan đến DLL và thoát khỏi thread.
CCBkrdr_GetShellcodeFromC2AndCall
Chức năng này chịu trách nhiệm cho nhiều hoạt động nguy hiểm mà Talos quan sát thấy trong khi phân tích phần mềm độc hại này. Trước tiên, nó ghi lại thời gian hiện tại hệ thống trên hệ thống bị nhiễm. Nó sẽ chậm trễ trong 601 giây trước khi tiếp tục hoạt động, có thể là một nỗ lực để trốn tránh các hệ thống phân tích tự động được cấu hình để thực hiện các mẫu cho một khoảng thời gian xác định trước hoặc xác định xem phần mềm độc hại đang được thực thi trong một trình sửa lỗi hay không. Để thực hiện chức năng này trì hoãn, phần mềm độc hại gọi một chức năng mà cố gắng để ping 224.0.0.0 sử dụng một delay_in_seconds thời gian chờ thiết lập để 601 giây. Sau đó kiểm tra để xác định thời gian hệ thống hiện tại để xem liệu 600 giây đã trôi qua. Nếu điều kiện đó không được đáp ứng, phần mềm độc hại sẽ kết thúc thực hiện trong khi nhị phân CCleaner vẫn hoạt động bình thường. Trong trường hợp phần mềm độc hại không thể thực thi IcmpCreateFile, nó sẽ quay trở lại sử dụng Sleep () để thực hiện cùng chức năng trễ. Phần mềm độc hại cũng so sánh thời gian hệ thống hiện tại với giá trị được lưu trữ ở vị trí đăng ký sau:
HKLM\SOFTWARE\Piriform\Agomo:TCID
Nếu giá trị được lưu trữ trong TCID là trong tương lai, phần mềm độc hại cũng sẽ chấm dứt thực hiện.
Phần mềm độc hại sẽ kiểm tra để xác định các đặc quyền được gán cho người dùng đang chạy trên hệ thống. Nếu người dùng đang chạy quá trình độc hại không phải là quản trị viên, phần mềm độc hại sẽ chấm dứt thực hiện.
Nếu người dùng thực hiện các phần mềm độc hại không có đặc quyền hành chính trên hệ thống bị nhiễm bệnh, SeDebugPrivilege được kích hoạt cho quá trình này. Phần mềm độc hại sau đó đọc giá trị ‘InstallID’ được lưu trữ ở vị trí đăng ký sau:
HKLM\SOFTWARE\Piriform\Agomo:MUID
Nếu giá trị này không tồn tại, phần mềm độc hại sẽ tạo ra nó bằng cách sử dụng ‘((rand () * rand () ^ GetTickCount ())’.
Một khi các hoạt động nói trên đã được thực hiện, phần mềm độc hại sẽ bắt đầu việc định hình hệ thống và thu thập thông tin hệ thống sau đó được truyền đến máy chủ C2. Thông tin hệ thống được lưu trong cấu trúc dữ liệu sau:
Một khi thông tin hệ thống đã được thu thập, nó được mã hóa và sau đó mã hóa bằng cách sử dụng sửa đổi Base64. Phần mềm độc hại sau đó thiết lập một Command và Control (C2) kênh như mô tả trong phần sau.
Command And Control (C2)
Trong khi phân tích phần mềm độc hại này, Talos đã xác định một lỗi phần mềm có trong mã độc hại có liên quan đến chức năng C2. Mẫu mà Talos phân tích đọc một địa chỉ IP được tính bằng DGA được đặt ở vị trí đăng ký sau, nhưng hiện tại không làm gì cả với nó:
HKLM\SOFTWARE\Piriform\Agomo:NID
Hiện tại, không rõ mục đích của địa chỉ IP này là gì, vì phần mềm độc hại dường như không sử dụng nó trong các hoạt động tiếp theo. Trong bất kỳ trường hợp nào, một khi thông tin hệ thống đã đề cập trước đó đã được thu thập và chuẩn bị để truyền tới máy chủ C2, thì phần mềm độc hại sẽ cố gắng truyền nó bằng một yêu cầu HTTPS POST tới 216 [. Các thông tin liên lạc HTTPS đòn bẩy một tiêu đề HTTP Host hardcoded đã được đặt thành speccy [.] Piriform [.] Com, một nền tảng hợp pháp cũng được tạo bởi Piriform để giám sát phần cứng. Điều này có thể khiến phân tích động trở nên khó khăn hơn vì miền dường như hợp pháp và thậm chí là trông đợi tùy thuộc vào cơ sở hạ tầng nạn nhân.
Yêu cầu cũng đẩy mạnh HTTPS nhưng bỏ qua tất cả các lỗi bảo mật vì máy chủ hiện đang trả lại chứng chỉ SSL tự ký kết đã được cấp cho tên miền phụ được định nghĩa trong trường Tiêu đề máy chủ lưu trữ. Trong trường hợp không nhận được phản hồi từ máy chủ C2, phần mềm độc hại sau đó sẽ không trở lại với Thuật toán tạo Thế hệ (Domain Generation Algorithm – DGA) như được mô tả trong phần ‘Thuật toán Cấp tên miền’ của bài đăng này. Khi máy chủ C2 đã được xác định để sử dụng bởi phần mềm độc hại, sau đó nó sẽ gửi dữ liệu mã hoá có chứa thông tin cấu hình hệ thống và lưu trữ địa chỉ IP C2 ở vị trí đăng ký sau:
HKLM\SOFTWARE\Piriform\Agomo:NID
Phần mềm độc hại sau đó lưu trữ giá trị của thời gian hệ thống hiện tại cộng với hai ngày vào vị trí đăng ký sau:
HKLM\SOFTWARE\Piriform\Agomo:TCID
Dữ liệu nhận được từ máy chủ C2 sau đó được xác nhận để xác nhận rằng dữ liệu nhận được ở đúng định dạng cho cấu trúc CCBkdr_ShellCode_Payload. Một ví dụ đã được biểu diễn ở dưới:
Các phần mềm độc hại sau đó xác nhận rằng giá trị của EncryptedInstallID phù hợp với giá trị mà trước đây đã được truyền đến máy chủ C2. Sau đó phân bổ bộ nhớ cho tải trọng shellcode cuối cùng. Các payload sau đó được giải mã bằng cách sử dụng sửa đổi Base64 và lưu trữ vào khu vực bộ nhớ vừa được phân bổ.
Nó được giải mã và được gọi với các địa chỉ của LoadLibraryA và GetProcAddress làm các tham số. Khi tải trọng đã được thực hiện, bộ nhớ sẽ được gán bỏ và giá trị đăng ký sau đây được đặt thành thời gian hệ thống hiện tại cộng với bảy ngày:
HKLM\SOFTWARE\Piriform\Agomo:TCID
Bộ đệm nhận được sau đó zeroed ra và deallocated. Cấu trúc CCBkdr_ShellCode_Payload cũng được deallocated và phần mềm độc hại sau đó sẽ tiếp tục với các hoạt động CCleaner thông thường. Sơ đồ mô tả hoạt động ở mức cao của phần mềm độc hại này là dưới đây:
Thuật toán tạo miền
Trong trường hợp máy chủ C2 chính không trả về phản hồi về yêu cầu HTTP POST được mô tả trong phần trước, phần mềm độc hại không sử dụng thuật toán DGA. Thuật toán được sử dụng bởi phần mềm độc hại này dựa trên thời gian và có thể được tính bằng cách sử dụng các giá trị của năm và tháng. Danh sách các tên miền DGA dưới đây:
Phần mềm độc hại sẽ bắt đầu tra cứu DNS cho mỗi miền do thuật toán DGA tạo ra. Nếu tra cứu DNS không dẫn đến sự trở lại của một địa chỉ IP, quá trình này sẽ tiếp tục. Phần mềm độc hại sẽ thực hiện truy vấn DNS của miền DGA đang hoạt động và mong muốn rằng hai địa chỉ IP sẽ được trả lại từ máy chủ tên quản lý vùng tên miền của DGA.
Phần mềm độc hại sau đó sẽ tính toán một máy chủ C2 thứ cấp bằng cách thực hiện một loạt các hoạt động bit trên các giá trị địa chỉ IP đã trả lại và kết hợp chúng để xác định địa chỉ máy chủ C2 dự phòng thực tế để sử dụng cho các hoạt động C2 tiếp theo. Một sơ đồ cho thấy quá trình này là dưới đây:
Cisco Talos quan sát trong quá trình phân tích rằng các miền DGA chưa được đăng ký, vì vậy chúng tôi đã đăng ký và chôn chúng để ngăn chặn những kẻ tấn công có thể sử dụng chúng cho các mục đích độc hại.
Tác động tiềm năng
Tác động của cuộc tấn công này có thể là nghiêm trọng vì số lượng hệ thống cực kỳ cao có thể bị ảnh hưởng. CCleaner tuyên bố đã có hơn 2 tỷ lượt tải xuống trên toàn thế giới tính đến tháng 11 năm 2016 và được cho là bổ sung thêm người dùng mới với tốc độ 5 triệu một tuần.
Nếu ngay cả một phần nhỏ trong số những hệ thống đó đã bị tấn công thì kẻ tấn công có thể sử dụng chúng cho bất kỳ mục đích độc hại nào. Các hệ thống bị ảnh hưởng cần được khôi phục lại trạng thái trước ngày 15 tháng 8 năm 2017 hoặc cài đặt lại. Người dùng cũng nên cập nhật lên phiên bản mới nhất của CCleaner để tránh lây nhiễm. Vào thời điểm viết bài này là phiên bản 5.34.
Điều quan trọng cần lưu ý là theo trang tải về của CCleaner, phiên bản miễn phí của CCleaner không cung cấp cập nhật tự động, vì vậy đây có thể là quy trình thủ công cho người dùng bị ảnh hưởng. Trong phân tích dữ liệu đo từ xa dựa trên DNS liên quan đến cuộc tấn công này, Talos đã xác định được một số lượng đáng kể các hệ thống làm cho các yêu cầu DNS cố gắng giải quyết các tên miền liên quan đến các tên miền DGA nói trên.
Vì những miền này chưa bao giờ được đăng ký nên nên kết luận rằng các điều kiện duy nhất trong đó các hệ thống sẽ cố gắng giải quyết các địa chỉ IP liên kết với chúng là nếu chúng bị ảnh hưởng bởi phần mềm độc hại này. Mặc dù hầu hết các lĩnh vực liên quan đến DGA này có ít lưu lượng truy cập yêu cầu, nhưng các lĩnh vực liên quan đến tháng 8 và tháng 9 lại liên quan đến thời điểm mối đe dọa này đang hoạt động trong tự nhiên. Nhìn vào hoạt động liên quan đến DNS được Cisco Umbrella quan tâm trong tháng 7 năm 2017 (trước khi phát hành CCleaner 5,33), chúng tôi đã quan sát rất ít trong các yêu cầu DNS để giải quyết địa chỉ IP cho miền DGA gắn với phần mềm độc hại này:
Như đã đề cập trước đó trong bài này, phiên bản của CCleaner đã bao gồm phần mềm độc hại này đã được phát hành vào ngày 15 tháng 8 năm 2017. Đồ thị dưới đây cho thấy sự gia tăng đáng kể về số lượng hoạt động DNS liên quan đến miền DGA được sử dụng vào tháng 8 năm 2017:
Tương tự, tên miền DGA gắn với Tháng 9 năm 2017 phản ánh hoạt động sau đây liên quan đến nỗ lực giải quyết IP liên quan đến nó:
Lưu ý rằng vào ngày 1 tháng 9 năm 2017, hoạt động DNS đã chuyển từ miền DGA trước đó đã được sử dụng trong tháng 8 sang một trong tháng 9, phù hợp với thuật toán DGA dựa trên thời gian được mô tả trong phần “Thuật sỹ tạo Miền” bài viết trên blog.
Sau khi liên hệ với Avast, chúng tôi lưu ý rằng máy chủ đã được gỡ xuống và trở nên không có sẵn cho các hệ thống đã bị nhiễm. Kết quả là, chúng tôi thấy một sự gia tăng đáng kể về số lượng yêu cầu được chuyển hướng đến các miền DGA bị failback do phần mềm độc hại sử dụng.
Cũng cần phải lưu ý rằng vào thời điểm này bài phát hiện chống virus cho mối đe doạ này vẫn còn rất thấp (Các phát hiện ở mức 1/64 vào thời điểm viết bài này).
Là một phần của phản ứng của chúng tôi đối với mối đe dọa này, Cisco Talos đã phát hành bảo hiểm toàn diện để bảo vệ khách hàng. Chi tiết liên quan đến phạm vi bảo hiểm này có thể được tìm thấy trong phần “Bảo hiểm” của bài đăng này.
Kết Luận
Đây là một ví dụ điển hình về mức độ mà kẻ tấn công sẵn sàng vượt qua trong nỗ lực phân phối phần mềm độc hại cho các tổ chức và cá nhân trên thế giới. Bằng cách khai thác mối quan hệ tin cậy giữa các nhà cung cấp phần mềm và người sử dụng phần mềm của mình, kẻ tấn công có thể hưởng lợi từ sự tin tưởng vốn có của người dùng vào các tệp tin và các máy chủ web được sử dụng để phân phối bản cập nhật.
Trong nhiều tổ chức, dữ liệu nhận được từ các nhà cung cấp phần mềm thông thường hiếm khi nhận được mức độ giám sát tương tự như những gì được coi là những nguồn không đáng tin cậy. Những kẻ tấn công đã cho thấy rằng họ sẵn sàng để tận dụng sự tin tưởng này để phân phối phần mềm độc hại trong khi vẫn không bị phát hiện. Cisco Talos tiếp tục giám sát tất cả các khía cạnh của cảnh báo mối đe dọa để nhanh chóng xác định các kỹ thuật mới và sáng tạo được sử dụng bởi kẻ tấn công để nhắm mục tiêu các tổ chức và cá nhân trên thế giới.
Độ Phủ Sóng
Các chữ ký ClamAV sau đây đã được phát hành để phát hiện ra mối đe dọa này: 6336251, 6336252. Các cách khác mà khách hàng của chúng tôi có thể phát hiện và ngăn chặn mối đe dọa này được liệt kê dưới đây.
Bảo vệ chống Malware Nâng cao (AMP) là lý tưởng để ngăn chặn việc thực hiện phần mềm độc hại được sử dụng bởi các tác nhân đe dọa này. CWS hoặc WSA quét web ngăn chặn truy cập vào các trang web độc hại và phát hiện phần mềm độc hại được sử dụng trong các cuộc tấn công này.
AMP Threat Grid giúp xác định các chương trình độc hại và xây dựng bảo vệ trong tất cả các sản phẩm Cisco Security. Umbrella, cổng thông tin an toàn (SIG) của chúng tôi ngăn chặn người dùng kết nối với tên miền độc hại, IP và URL, cho dù người dùng đang ở trong hay ngoài mạng công ty.
Bạn VT bản CCleaner bạn cung cấp trong bài ” Key CCleaner Professional 2017 – Key bản quyền CCleaner Full Active ” (bản 64 bit) có bị dính không. Sau khi cài một thời gian thì nó Update lên bản 5.34. Hiện máy mình đang dùng bản CCleaner Professional.