資訊安全解決方案供應商卡巴斯基實驗室,上周發布最新的病毒情報,指出由NetSarang開發的知名的伺服器管理程式XManager,及其旗下其他軟件一度被黑客改寫,加入後門程式ShadowPad,並透過網絡傳播。
NetSarang開發的XManager程式,專門為大型企業網絡,提供安全連線及伺服器管理服務。據悉,目前已經確定至少有一家香港公司的網絡,曾經觸發病毒的後門程式。
黑客惡意修改透過官方發布
卡巴斯基實驗室於2017年7月,接獲一金融機構求助,協助調查其企業網絡內發現的可疑DNS查詢。追查後,發現來源自該機構正使用的NetSarang程式。卡巴斯基實驗室專家詳細調查後發現,該程式最近發布的數個版本,均被惡意修改,殖入加密負載(Payload),網絡罪犯可利用此後門進行攻擊。
此後門程式攻擊被命名為ShadowPad,隨NetSarang官方發布的軟件安裝檔散播,攻擊可分成兩階段:
- 使用者安裝帶後門的程式後,程式進行基本的系統情報收集,每8小時向攻擊行動的命令暨控制(Command and Control,C&C)伺服器,發送網絡的使用者帳號、網域及主機名稱等資料。
- 當黑客決定進一步攻擊,他們會透過C&C伺服器,向被入侵系統安裝功能更完整的後門程式。
當後門程式成功載入公司的網絡,便會在注冊表內架設虛擬檔案系統,容許黑客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。
受影響安裝檔已下架並發布更新
卡巴斯基實驗室發現ShadowPad後門程式後,已通報NetSarang。該公司迅速回應,並已將所有被殖入後門的程式下架,換上安全的安裝檔。根據報告,NetSarang曾發布的5個程式帶有ShadowPad後門,估計於7月時被惡意植入。
調查中發現,一間位於香港的企業曾被啟動此後門攻擊,由於NetSarang的伺服器管理程式,被用於全球不少的重要網絡,卡巴斯基實驗室建議,有使用相關程式的企業,盡快採取行動檢查並更新相關程式。
檢測及解除ShadowPad威脅
企業IT管理員,可以檢查公司網絡有否出現以下DNS的連線:
| ribotqtonut[.]com | nylalobghyhirgh[.]com | jkvmdmjyfcvkf[.]com |
| bafyvoruzgjitwr[.]com | xmponmzmxkxkh[.]com | tczafklirkl[.]com |
| notped[.]com | dnsgogle[.]com | operatingbox[.]com |
| paniesx[.]com | techniciantext[.]com |
如需要解除ShadowPad威脅,可以嘗試以下方法:
- 更新NetSarang至最新版本;
- 封鎖以上DNS的連線;
- 瀏覽更詳細的研究報告(https://securelist.com/shadowpad-in-corporate-networks/81432/)