Netsarang是一个提供远程服务器管理的软件公司,旗下产品包括Xmanager、Xshell等。其主要功能是远程连接Unix/Linux主机并实现远程X服务。
近日,安全研究人员发现NetSarang的服务器管理软件被嵌入ShadowPad后门程序。该后门程序不仅能够下载并执行其它恶意软件,还会窃取用户数据,导致用户**信息泄露。亚信安全已经截获该后门程序,将其命名为TROJ_SHADOWPACK.A。
NetSaran**品包括网络管理软件、服务器和系统管理工作站软件,如:Xmanager,Xshell。由于该软件被大量用户使用,所以其影响行业范围比较广,包括银行金融机构、能源行业以及制药行业等。
NetSarang已经承认此次后**,并开始实施策略。据NetSarang透露,他们已经开始建立全新独立的基础设施,检查每个设备,列出白名单,然后将这些设备依次放到新的基础设施中。这个过程可能要几周的时间,目的是要保证NetSarang不再发生类似事件。
ShadowPad技术细节**
通过深入**,我们发现ShadowPad每隔8小时会被**,向攻击者控制的域发送被感染系统的相关信息。每个月会**不同的域。如果攻击者对收到的信息感兴趣,其会通过命令和控制(CC)服务器发送指令,触发后门程序执行其它的有效载荷,获取更多有价值信息。
我们在动态链接库文件nssock2.dll中发现了ShadowPad恶意代码,值得注意的是,该病毒的加密层和功能层机制会阻止后门激活,其只有收到CC服务器发送的特定数据包后才能激活。与之前putty汉化版被植入后门不同,此次黑客是在源码中植入后门,导致NetSarang的官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。
受影响的版本:
•XmanagerEnterprise5.0Build1232
•Xmanager5.0Build1045
•Xshell5.0Build1322
•Xftp5.0Build1218
•Xlpd5.0Build1220
如何确认是否感染该后门程序?
可通过查看nssock2.dll的版本来确定是否受此影响:在软件安装目录下找到nssock2.dll文件,右键查看文件属性,如果版本号为5.0.0.26则存在恶意代码:
纵观过去,合法软件被注入恶意程序进行传播屡见不鲜,NetSarang后**只是其中之一。此外,合法的财务软件被用来传播Petya**病毒;BitTorrent客户端被嵌入Mac**病毒KeRanger;甚至于官方版本的在线游戏感染了臭名昭著的PlugX后门程序;基于Mac的开源视频转码应用程序的镜像下载服务器也被用来传播Proton后门等等。
网络威胁无处不在,我们建议用户加强网络基础设施安全性,建立合理的安全保护机制,如网络分段、数据分类以及数据加密等,防止数据泄露及**。
亚信安全教你如何防范
目前厂商NetSarang已经修复了该问题,请及时升级软件版本。
亚信安全病毒码版本13.594.60(云病毒码版本13.594.71)已经可以检测,请用户及时升级病毒码版本。
亚信安全TDA已经更新规则,可以有效检测此类威胁,规则如下:
2308:PossibleDGA-DNS(Response)