小心注意！後門程式 ShadowPad 入侵 NetSarang 旗下 XManager 等程式

專家發現，由 NetSarang 開發的知名的伺服器管理程式 XManager 以及旗下其他軟件一度被黑客改寫，加入後門程式 ShadowPad，並透過網絡傳播。

NetSarang 開發的 XManager 程式專門為大型企業網絡提供安全連線及伺服器管理服務，現時已經確定至少有一家香港公司的網絡曾經觸發病毒的後門程式。

黑客惡意修改透過官方發佈

卡巴斯基實驗室（Kaspersky Lab）於 2017 年 7 月接獲一金融機構求助，協助調查其企業網絡內發現的可疑 DNS 查詢，追查後發現來源自該機構正使用的 NetSarang 程式。經專家詳細調查後發現，該程式最近發佈的數個版本，均被惡意修改殖入加密負載(Payload)，網絡罪犯可利用此後門進行攻擊。

此後門程式攻擊被命名為 ShadowPad，隨 NetSarang 官方發佈的軟件安裝檔散播，攻擊可分成兩階段：

1. 使用者安裝帶後門的程式後，程式進行基本的系統情報收集，每 8 小時向 C&C 伺服器發送網絡的使用者帳號、網域及主機名稱等資料。
2. 當黑客決定進一步攻擊，他們會透過 C&C 伺服器向被入侵系統安裝功能更完整的後門程式。

當後門程式成功載入公司的網絡，便會在注冊表內架設虛擬檔案系統，容許黑客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。

受影響安裝檔已下架並發佈更新

卡巴斯基實驗室發現 ShadowPad 後門程式後已通報 NetSarang，該公司迅速回應並已下架所有被殖入後門的程式，換上安全的安裝檔。根據報告 NetSarang 曾發佈的 5 個程式帶有 ShadowPad 後門，估計於 7 月時被惡意植入。

調查中發現一間位於香港的企業曾被啟動此後門攻擊，由於 NetSarang 的伺服器管理程式被用於全球不少的重要網絡，專家建議有使用相關程式的企業盡快採取行動檢查並更新相關程式。

檢測及解除 ShadowPad 威脅

現時卡巴斯基實驗室的產品均能夠偵測和解除 ShadowPad 的威脅(惡意程式為偵測為 “Backdoor.Win32.ShadowPad.a”)，其他用戶和 IT 管理員可以檢查公司網絡有否出現以下 DNS 的連線：

如非卡巴斯期實驗室的產品用戶需解除 ShadowPad 威脅，可以嘗試以下方法：

1. 更新 NetSarang 至最新版本：NetSarang 在接收到通報後，已經迅速行動，移除網站上受影響的檔案。
2. 封鎖以上 DNS 的連線