專家發現,由 NetSarang 開發的知名的伺服器管理程式 XManager 以及旗下其他軟件一度被黑客改寫,加入後門程式 ShadowPad,並透過網絡傳播。
NetSarang 開發的 XManager 程式專門為大型企業網絡提供安全連線及伺服器管理服務,現時已經確定至少有一家香港公司的網絡曾經觸發病毒的後門程式。
黑客惡意修改透過官方發佈
卡巴斯基實驗室(Kaspersky Lab)於 2017 年 7 月接獲一金融機構求助,協助調查其企業網絡內發現的可疑 DNS 查詢,追查後發現來源自該機構正使用的 NetSarang 程式。經專家詳細調查後發現,該程式最近發佈的數個版本,均被惡意修改殖入加密負載(Payload),網絡罪犯可利用此後門進行攻擊。
此後門程式攻擊被命名為 ShadowPad,隨 NetSarang 官方發佈的軟件安裝檔散播,攻擊可分成兩階段:
1. 使用者安裝帶後門的程式後,程式進行基本的系統情報收集,每 8 小時向 C&C 伺服器發送網絡的使用者帳號、網域及主機名稱等資料。
2. 當黑客決定進一步攻擊,他們會透過 C&C 伺服器向被入侵系統安裝功能更完整的後門程式。
當後門程式成功載入公司的網絡,便會在注冊表內架設虛擬檔案系統,容許黑客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。
受影響安裝檔已下架並發佈更新
卡巴斯基實驗室發現 ShadowPad 後門程式後已通報 NetSarang,該公司迅速回應並已下架所有被殖入後門的程式,換上安全的安裝檔。根據報告 NetSarang 曾發佈的 5 個程式帶有 ShadowPad 後門,估計於 7 月時被惡意植入。
調查中發現一間位於香港的企業曾被啟動此後門攻擊,由於 NetSarang 的伺服器管理程式被用於全球不少的重要網絡,專家建議有使用相關程式的企業盡快採取行動檢查並更新相關程式。
檢測及解除 ShadowPad 威脅
現時卡巴斯基實驗室的產品均能夠偵測和解除 ShadowPad 的威脅(惡意程式為偵測為 “Backdoor.Win32.ShadowPad.a”),其他用戶和 IT 管理員可以檢查公司網絡有否出現以下 DNS 的連線:
ribotqtonut[.]com | nylalobghyhirgh[.]com | jkvmdmjyfcvkf[.]com |
bafyvoruzgjitwr[.]com | xmponmzmxkxkh[.]com | tczafklirkl[.]com |
notped[.]com | dnsgogle[.]com | operatingbox[.]com |
paniesx[.]com | techniciantext[.]com |
如非卡巴斯期實驗室的產品用戶需解除 ShadowPad 威脅,可以嘗試以下方法:
1. 更新 NetSarang 至最新版本:NetSarang 在接收到通報後,已經迅速行動,移除網站上受影響的檔案。
2. 封鎖以上 DNS 的連線
小心注意!後門程式 ShadowPad 入侵 NetSarang 旗下 XManager 等程式
https://www.facebook.com/hkitblog