全球资讯

ShadowPad后门通过软件更新机制传播到企业网络中

卡巴斯基实验室发现,攻击者能够修改NetSarang软件更新过程,以包含跟踪为ShadowPad后门的恶意软件。

软件更新机制可能是一个有效的攻击向量,当天的消息是黑客破坏了NetSarang开发的流行服务器管理软件包的更新过程。

攻击者能够在上个月修改软件更新过程,并将其修改为包括一个追踪为ShadowPad的后门,影响了至少一名受害者在香港的机器。

NetSarang计算机公司提供安全的连接解决方​​案,专门为包括金融服务,能源,零售,技术和媒体在内的许多行业的大型企业网络开发服务器管理工​​具。

7月份,卡巴斯基实验室的研究人员正在对合作伙伴网络中的可疑DNS请求进行调查。这些请求是在用于在金融行业的客户网络中处理交易的系统上找到的。

对DNS查询的进一步调查导致他们到NetSarang,通过删除其更新包中的恶意库nssock2.dll,迅速清理了其软件更新过程,

“2017年7月,在调查期间,伙伴网络中发现了可疑的DNS请求。合伙人是一家金融机构,发现了涉及金融交易处理系统的请求。“ 卡巴斯基发表的分析指出。

“进一步调查显示,可疑DNS查询的来源是NetSarang生产的  软件包。”

攻击者暗中修改了NetSarang分发的软件,以包含可以远程激活的加密有效载荷。

攻击者利用几层加密代码隐藏其ShadowPad后门,仅通过从第一层命令和控制(C&C)服务器(“C&C服务器”)接收到特殊数据包来激活。

“有效载荷的激活将通过特定域的特制DNS TXT记录来触发。域名是根据当前月份和年份值生成的,例如,在二零一七年八月,所使用的域名为“nylalobghyhirgh.com”。“继续分析。

该模块将C&C DNS服务器的基本目标信息(域和用户名,系统日期,网络配置)发送回来,然后再接收下一代码的解密密钥,激活ShadowPad后门。

在模块和C&C服务器之间交换的数据通过专有算法加密,专家们注意到,每个数据包也包含一个加密的“魔术”DWORD值“52 4F 4F 44”(如果读取为小端值,则为“DOOR”) 。

ShadowPad后门是一个模块化平台,可用于在受感染系统上下载和执行任意代码,创建进程并在注册表中维护虚拟文件系统,

为ShadowPad后门实现的远程访问功能包括用于每月更改的C&C服务器的域生成算法(DGA)。专家注意到,ShadowPad后门的线程演员已经注册了2017年7月至12月的领域,导致他们认为攻击的开始日期大约在2017年7月中旬左右。

卡巴斯基实验室透露,ShadowPad后门程序的第一个已知编译日期是7月13日,黑客用合法的NetSarang证书签署恶意代码。

ShadowPad是针对软件更新过程中的攻击所带来的危险的一个例子,最近其他成功的供应链攻击的头条新闻,如NotPetya  这是通过利用乌克兰的金融软件提供商的软件供应链传播梅多克

NetSarang客户敦促检查他们的软件来检查后门的存在。包含恶意nssock2.dll的受影响的NetSarang版本是Xmanager Enterprise 5 Build 1232,Xmanager 5 Build 1045,Xshell 5 Build 1322,Xftp 5 Build 1218和Xlpd 5 Build 1220。

卡巴斯基实验室说:“鉴于NetSarang程序在世界各地数百个关键网络中使用,在属于系统管理员的服务器和工作站上,强烈建议公司立即采取行动来识别和控制受损软件。

卡巴斯基发布了“妥协指标”清单,帮助公司检查其系统。

 

原文链接:http://securityaffairs.co/wordpress/62052/hacking/shadowpad-backdoor.html  翻译来自安全周

(0)

本文由 安全周 作者:追梦 发表,转载请注明来源!

热评文章

发表评论