在數百家公司使用的流行服務器管理軟件中發現了后門

VSole2022-09-09 11:00:00

最近，網絡騙子設法滲透了一個流行的服務器管理軟件包的更新機制，并將其修改為包含一個高級后門，該后門至少持續17天，直到研究人員發現它。

配音陰影板，這個秘密后門讓攻擊者完全控制了隱藏在該公司出售的合法加密簽名軟件背后的網絡NetSarang—被數百家銀行、媒體公司、能源公司、制藥公司、電信供應商、運輸和物流及其他行業使用—；從上個月開始的17天。

重要提示— 如果您正在使用任何受影響的產品（如下所列），我們強烈建議您在更新之前停止使用。

黑客通過軟件更新機制注入后門

卡巴斯基實驗室（Kaspersky Labs）的研究人員發現了這個隱藏良好的后門，根據他們的說法，有人設法劫持了NetSarang的更新機制，并在軟件更新中悄悄地插入后門，這樣惡意代碼就會悄悄地將NetSarang的合法簽名證書傳遞給其所有客戶。

今年6月，Petya/NotPetya勒索軟件的攻擊者在世界各地感染了計算機，他們使用了同樣的策略，破壞了烏克蘭金融軟件提供商MeDoc的更新機制，并在一次包括NotPetya在內的狡猾更新中進行了交換。

卡巴斯基實驗室的研究人員在周二發表的博文中說：“ShadowPad是成功的供應鏈攻擊所帶來的危險的一個例子。”。“考慮到隱蔽數據收集的機會，攻擊者可能會利用其他廣泛使用的軟件組件一次又一次地進行此類攻擊。”

秘密后門位于nssock2中。NetSarang的Xmanager和Xshell軟件套件中的dll庫于7月18日在NetSarang網站上上線。

然而，卡巴斯基實驗室的研究人員發現了這個后門，并在8月4日私下向該公司報告，NetSarang立即采取行動，從其網站上撤下了受損的軟件套件，并用以前的干凈版本替換。

受影響的NetSarang軟件包包括：

黑客可以遠程觸發命令

攻擊者將ShadowPad后門代碼隱藏在幾層加密代碼中，這些代碼僅在預期情況下解密。

研究人員寫道：“分層體系結構防止后門的實際業務邏輯被激活，直到從第一層命令和控制（C&C）服務器（激活C&C服務器）接收到一個特殊數據包。”。

在此之前，后門每8小時向命令和控制服務器發出一次ping，其中包含受損計算機的基本信息，包括它們的域名、網絡詳細信息和用戶名。

以下是攻擊者如何激活后門：

后門的激活最終是由一個特定域名的特制DNS TXT記錄觸發的。域名基于當前月份和年份生成，并對其執行DNS查找。

一旦觸發，命令和控制DNS服務器將返回解密密鑰，該密鑰由軟件下載用于下一階段的代碼，從而有效地激活后門。

一旦激活，ShadowPad后門就為攻擊者提供了一個完整的后門，可以下載和運行任意代碼，創建進程，并在注冊表中維護一個虛擬文件系統（VFS），該系統被加密并存儲在每個受害者特有的位置。

卡巴斯基的研究人員說，他們可以確認一個案例中激活的后門，針對一個位于香港的未命名公司。

如何檢測這個后門并保護你的公司

該公司已于8月4日發布了一項更新，以殺死惡意軟件，并正在調查后門代碼是如何進入其軟件的。

強烈建議此后未更新NetSarang軟件的用戶立即升級到NetSarang軟件包的最新版本，以防受到任何威脅。

此外，請檢查您的組織是否向以下域列表發送了DNS請求。如果是，則應阻止對這些域的請求。

4月份的NetSarang安裝包不包括惡意庫。

軟件域名服務器

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接