在数百家公司使用的流行服务器管理软件中发现了后门 - 网安

最近，网络骗子设法渗透了一个流行的服务器管理软件包的更新机制，并将其修改为包含一个高级后门，该后门至少持续17天，直到研究人员发现它。

配音阴影板，这个秘密后门让攻击者完全控制了隐藏在该公司出售的合法加密签名软件背后的网络NetSarang—被数百家银行、媒体公司、能源公司、制药公司、电信供应商、运输和物流及其他行业使用—；从上个月开始的17天。

重要提示— 如果您正在使用任何受影响的产品（如下所列），我们强烈建议您在更新之前停止使用。

黑客通过软件更新机制注入后门

卡巴斯基实验室（Kaspersky Labs）的研究人员发现了这个隐藏良好的后门，根据他们的说法，有人设法劫持了NetSarang的更新机制，并在软件更新中悄悄地插入后门，这样恶意代码就会悄悄地将NetSarang的合法签名证书传递给其所有客户。

今年6月，Petya/NotPetya勒索软件的攻击者在世界各地感染了计算机，他们使用了同样的策略，破坏了乌克兰金融软件提供商MeDoc的更新机制，并在一次包括NotPetya在内的狡猾更新中进行了交换。

卡巴斯基实验室的研究人员在周二发表的博文中说：“ShadowPad是成功的供应链攻击所带来的危险的一个例子。”。“考虑到隐蔽数据收集的机会，攻击者可能会利用其他广泛使用的软件组件一次又一次地进行此类攻击。”

秘密后门位于nssock2中。NetSarang的Xmanager和Xshell软件套件中的dll库于7月18日在NetSarang网站上上线。

然而，卡巴斯基实验室的研究人员发现了这个后门，并在8月4日私下向该公司报告，NetSarang立即采取行动，从其网站上撤下了受损的软件套件，并用以前的干净版本替换。

受影响的NetSarang软件包包括：

黑客可以远程触发命令

攻击者将ShadowPad后门代码隐藏在几层加密代码中，这些代码仅在预期情况下解密。

研究人员写道：“分层体系结构防止后门的实际业务逻辑被激活，直到从第一层命令和控制（C&C）服务器（激活C&C服务器）接收到一个特殊数据包。”。

在此之前，后门每8小时向命令和控制服务器发出一次ping，其中包含受损计算机的基本信息，包括它们的域名、网络详细信息和用户名。

以下是攻击者如何激活后门：

后门的激活最终是由一个特定域名的特制DNS TXT记录触发的。域名基于当前月份和年份生成，并对其执行DNS查找。

一旦触发，命令和控制DNS服务器将返回解密密钥，该密钥由软件下载用于下一阶段的代码，从而有效地激活后门。

一旦激活，ShadowPad后门就为攻击者提供了一个完整的后门，可以下载和运行任意代码，创建进程，并在注册表中维护一个虚拟文件系统（VFS），该系统被加密并存储在每个受害者特有的位置。

卡巴斯基的研究人员说，他们可以确认一个案例中激活的后门，针对一个位于香港的未命名公司。

如何检测这个后门并保护你的公司

该公司已于8月4日发布了一项更新，以杀死恶意软件，并正在调查后门代码是如何进入其软件的。

强烈建议此后未更新NetSarang软件的用户立即升级到NetSarang软件包的最新版本，以防受到任何威胁。

此外，请检查您的组织是否向以下域列表发送了DNS请求。如果是，则应阻止对这些域的请求。

4月份的NetSarang安装包不包括恶意库。