近日,安全研究人员发现NetSarang的服务器管理软件被嵌入ShadowPad后门程序。该后门程序不仅能够下载并执行其它恶意软件,还会窃取用户数据,导致用户敏感信息泄露。亚信安全已经截获该后门程序,将其命名为TROJ_SHADOWPACK.A。
NetSarang产品包括 络管理软件、服务器和系统管理工作站软件,如:Xmanager,Xshell。由于该软件被大量用户使用,所以其影响行业范围比较广,包括银行金融机构、能源行业以及制药行业等。
NetSarang已经承认此次后门事件,并开始实施策略。据NetSarang透露,他们已经开始建立全新独立的基础设施,检查每个设备,列出白名单,然后将这些设备依次放到新的基础设施中。这个过程可能要几周的时间,目的是要保证NetSarang不再发生类似事件。
ShadowPad技术细节分析
通过深入分析,我们发现ShadowPad每隔8小时会被唤起,向攻击者控制的域发送被感染系统的相关信息。每个月会唤起不同的域。如果攻击者对收到的信息感兴趣,其会通过命令和控制(C&C)服务器发送指令,触发后门程序执行其它的有效载荷,获取更多有价值信息。
我们在动态链接库文件nssock2.dll中发现了ShadowPad恶意代码,值得注意的是,该病毒的加密层和功能层机制会阻止后门激活,其只有收到C&C服务器发送的特定数据包后才能激活。与之前putty汉化版被植入后门不同,此次黑客是在源码中植入后门,导致NetSarang的官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有 毒。
受影响的版本:
?XmanagerEnterprise 5.0 Build 1232
?Xmanager5.0 Build 1045
?Xshell5.0 Build 1322
?Xftp5.0 Build 1218
?Xlpd5.0 Build 1220
如何确认是否感染该后门程序?
可通过查看nssock2.dll的版本来确定是否受此影响:在软件安装目录下找到nssock2.dll文件,右键查看文件属性,如果版本 为5.0.0.26则存在恶意代码:
纵观过去,合法软件被注入恶意程序进行传播屡见不鲜,NetSarang后门事件只是其中之一。此外,合法的财务软件被用来传播Petya勒索病毒;BitTorrent客户端被嵌入Mac勒索病毒KeRanger;甚至于官方版本的在线游戏感染了臭名昭著的PlugX后门程序;基于Mac的开源视频转码应用程序的镜像下载服务器也被用来传播Proton后门等等。
络威胁无处不在,我们建议用户加强 络基础设施安全性,建立合理的安全保护机制,如 络分段、数据分类以及数据加密等,防止数据泄露及破坏。
亚信安全教你如何防范
目前厂商NetSarang已经修复了该问题,请及时升级软件版本。
亚信安全病毒码版本13.594.60(云病毒码版本13.594.71)已经可以检测,请用户及时升级病毒码版本。
亚信安全TDA已经更新规则,可以有效检测此类威胁,规则如下:
2308: Possible DGA – DNS (Response)
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!