卡巴斯基:ShadowPad入侵NetSarang旗下XManager
卡巴斯基實驗室發佈最新的病毒情報,由NetSarang開發的知名的伺服器管理程式XManager及其旗下其他軟件一度被黑客改寫,加入後門程式ShadowPad,並透過網絡傳播。
NetSarang開發的XManager程式專門為大型企業網絡提供安全連線及伺服器管理服務,現時已經確定至少有一家香港公司的網絡曾經觸發病毒的後門程式。
黑客惡意修改透過官方發佈
卡巴斯基實驗室於2017年7月接獲一金融機構求助,協助調查其企業網絡內發現的可疑的DNS查詢,追查後發現來源自該機構正使用的NetSarang程式。卡巴斯基實驗室專家詳細調查後發現,該程式最近發佈的數個版本,均被惡意修改殖入加密負載(Payload),網絡罪犯可利用此後門進行攻擊。
此後門程式攻擊被命名為ShadowPad,隨NetSarang官方發佈的軟件安裝檔散播,攻擊可分成兩階段:
- 使用者安裝帶後門的程式後,程式進行基本的系統情報收集,每8小時向C&C伺服器發送網絡的使用者帳號、網域及主機名稱等資料。
- 當黑客決定進一步攻擊,他們會透過C&C伺服器向被入侵系統安裝功能更完整的後門程式。
當後門程式成功載入公司的網絡,便會在注冊表內架設虛擬檔案系統,容許黑客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。
受影響安裝檔已下架並發佈更新
卡巴斯基實驗室發現ShadowPad後門程式後已通報NetSarang,該公司迅速回應並已下架所有被殖入後門的程式,換上安全的安裝檔。根據報告NetSarang曾發佈的5個程式帶有ShadowPad後門,估計於7月時被惡意植入。
調查中發現一間位於香港的企業曾被啟動此後門攻擊,由於NetSarang的伺服器管理程式被用於全球不少的重要網絡,卡巴斯基實驗室建議有使用相關程式的企業盡快採取行動檢查並更新相關程式。
檢測及解除ShadowPad威脅
現時卡巴斯基實驗室的產品均能夠偵測和解除ShadowPad的威脅(惡意程式為偵測為 “Backdoor.Win32.ShadowPad.a”),其他用戶和IT管理員可以檢查公司網絡有否出現以下DNS的連線:
ribotqtonut[.]com | nylalobghyhirgh[.]com | jkvmdmjyfcvkf[.]com |
bafyvoruzgjitwr[.]com | xmponmzmxkxkh[.]com | tczafklirkl[.]com |
notped[.]com | dnsgogle[.]com | operatingbox[.]com |
paniesx[.]com | techniciantext[.]com |
如非卡巴斯期實驗室的產品用戶需解除ShadowPad威脅,可以嘗試以下方法:
- 更新NetSarang至最新版本 – NetSarang在接收到卡巴斯基實驗室的通報後,已經迅速行動,移除網站上受影響的檔案。
- 封鎖以上DNS的連線
- 瀏覽更詳細的研究報告(Securelist)