後門程式ShadowPad入侵XManager

資訊安全解決方案供應商卡巴斯基實驗室，上周發布最新的病毒情報，指出由
NetSarang開發的知名的伺服器管理程式XManager，及其旗下其他軟件一度被黑
客改寫，加入後門程式ShadowPad，並透過網絡傳播。

NetSarang開發的XManager程式，專門為大型企業網絡，提供安全連線及伺服器
管理服務。據悉，目前已經確定至少有一家香港公司的網絡，曾經觸發病毒的後
門程式。

黑客惡意修改透過官方發布

卡巴斯基實驗室於2017年7月，接獲一金融機構求助，協助調查其企業網絡內發
現的可疑DNS查詢。追查後，發現來源自該機構正使用的NetSarang程式。卡巴斯
基實驗室專家詳細調查後發現，該程式最近發布的數個版本，均被惡意修改，殖
入加密負載（Payload），網絡罪犯可利用此後門進行攻擊。

此後門程式攻擊被命名為ShadowPad，隨NetSarang官方發布的軟件安裝檔散播
，攻擊可分成兩階段：

1. 使用者安裝帶後門的程式後，程式進行基本的系統情報收集，每8小時向攻
擊行動的命令暨控制（Command and Control，C;C）伺服器，發送網絡的使用者帳
號、網域及主機名稱等資料。

2. 當黑客決定進一步攻擊，他們會透過C;C伺服器，向被入侵系統安裝功能更
完整的後門程式。

當後門程式成功載入公司的網絡，便會在注冊表內架設虛擬檔案系統，容許黑
客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。


受影響安裝檔已下架並發布更新

卡巴斯基實驗室發現ShadowPad後門程式後，已通報NetSarang。該公司迅速回應，
並已將所有被殖入後門的程式下架，換上安全的安裝檔。根據報告，NetSarang
曾發布的5個程式帶有ShadowPad後門，估計於7月時被惡意植入。

調查中發現，一間位於香港的企業曾被啟動此後門攻擊，由於NetSarang的伺服
器管理程式，被用於全球不少的重要網絡，卡巴斯基實驗室建議，有使用相關程
式的企業，盡快採取行動檢查並更新相關程式。

檢測及解除ShadowPad威脅


企業IT管理員，可以檢查公司網絡有否出現以下DNS的連線：

ribotqtonut.com
nylalobghyhirgh.com
jkvmdmjyfcvkf.com
bafyvoruzgjitwr.com
xmponmzmxkxkh.com
tczafklirkl.com
notped.com
dnsgogle.com
operatingbox.com
paniesx.com
techniciantext.com

如需要解除ShadowPad威脅，可以嘗試以下方法：

1. 更新NetSarang至最新版本；
2. 封鎖以上DNS的連線；
3. 瀏覽更詳細的研究報告
（https://securelist.com/shadowpad-in-corporate-networks/81432/）。