ShadowPad 後門程式藏匿在伺服器管理軟體中

安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad(趨勢科技偵測為BKDR_SHADOWPAD.A),它能夠下載並執行其他惡意軟體及竊取資料。

受影響的組織包括金融機構、能源和製藥等產業

NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構(如銀行)、能源和製藥等產業。

根據研究人員的分析,ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣,則命令與控制(C&C)伺服器會去觸發後門程式來送入更多的惡意程式。

ShadowPad的惡意程式碼被注入到一個動態連結函式庫(DLL)檔案nssock2.dll,在7月17日出現在NetSarang網站上,至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度,包括了加密層數,並且具備分級機制來阻止後門程式啟動,除非C&C伺服器發送特定封包到中毒系統。

NetSarang已經承認了此一事件,並且開始實施對策,他們告訴Ars Technica:“我們建立了一個全新且獨立的基礎設施網路,所有要被放入此新基礎設施網路的設備都會先重新格式化。接著接受檢查,加入白名單,再逐次加入新的基礎設施網路。這過程將需要經歷幾個星期的時間,但我們需要確保這樣的入侵事件不會再在NetSarang發生。“

合法軟體被惡意濫用不止一樁:

會計軟體被利用散佈Petya*勒索病毒,Mac勒索病毒內嵌到BitTorrent客戶端*

NetSarang軟體只是被惡意軟體所濫用的諸多軟體之一。比方說,有合法的會計軟體被利用來散佈Petya勒索病毒,還有Mac勒索病毒KeRanger被內嵌到BitTorrent客戶端。即使是官方版本的網路遊戲也被感染了惡名昭彰的PlugX後門程式。Mac開放原始碼影像轉檔軟體的鏡像下載伺服器也被入侵,用來散播Proton後門程式。

根據NetSarang的公告,他們高度建議受影響軟體的所有者和管理人員安裝更新。受影響的版本為:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

同時也敦促受影響組織實施最佳實作,如加強網路基礎設施的安全防護。還建議採用額外的機制(如網路分段資料分類和端點層級的資料加密)以防止進一步的資料外洩和減輕任何損害。

趨勢科技解決方案

Deep Discovery透過特製引擎、客製化沙箱及橫跨整個攻擊生命週期的無縫關聯技術,來偵測、深入分析和主動回應漏洞攻擊及其他類似威脅,讓它即便沒有更新引擎或特徵碼也能夠偵測這些攻擊。

趨勢科技的趨勢科技的Deep Discovery Inspector透過以下DDI規則來保護客戶免於此威脅:

  • 2308: Possible DGA – DNS (Response)

@原文出處:ShadowPad Backdoor Found in Server Management Software
【Cloudsec 2017 企業資安高峰論壇-請把握最後報名機會,席次保留倒數中。。 】

今年的主題包含最熱門的物聯網安全,讓您在享受其美好以及便利性之時,也了解不能忽視的漏洞。以下的議題也是身為資安領航者應該要了解的面向 :
• 金融科技犯罪案例大剖析
• 駭客為何總是有辦法一駭再駭?
• AI 打造人工智慧安全,您知道如何辦到嗎?
• 令人聞之色變的勒索病毒已經結合APT的手法全面入侵,企業要如何全身而退?

如此精彩詳實的內容,席次即將額滿,如果您已經報名,9/6請務必出席,如果您還未報名,請即刻行動,把握最後倒數席次

原文來自 資安趨勢