ShadowPad：攻击者如何在全球数百家大型企业使用的软件中隐藏后门程序

卡巴斯基实验室专家发现一种被全球数百家大型企业使用的服务器管理软件产品中被植入了后门程序。激活后，后门程序可以让攻击者下载其他恶意模块或窃取数据。卡巴斯基实验室立刻通知了受影响软件的开发商NetSarang，开发商立刻清除了恶意代码，为客户发布了最新升级。

ShadowPad是最大的已知供应链攻击之一。 如果没有被及时检测到并且被快速修补，它可能会造成全球数百家企业遭受攻击。

2017年7月，卡巴斯基实验室的一个合作伙伴——一家金融机构联系了卡巴斯基实验室的全球研究和分析团队（GReAT）。该金融机构的安全专业人员对其内部负责处理金融交易的系统出现可疑的DNS（域名服务器）请求表示担忧。进一步调查显示，这些请求的来源是一款由一家合法企业生产的服务器管理软件，该软件在全球拥有数百家企业客户，包括金融服务行业、教育、电信、制造业、能源行业以及运输业。最令人担忧的发现是，供应商并不没有让自己的软件发出这些请求。

卡巴斯基实验室的进一步分析显示，这些可疑的请求事实上来自隐藏在这种合法软件中的恶意模块。安装受感染的软件更新后，恶意模块将以每八小时一次的频率开始向特定域名（其命令和控制服务器）发送DNS查询。查询请求包含有关受害系统的基本信息（用户名、域名和主机名）。如果攻击者认为受害者系统“有趣”，就会让命令服务器回复并激活一个完全成熟的后门平台，将其偷偷部署在被攻击计算机上。之后，根据攻击者的命令，后门平台将能够下载并执行更多的恶意代码。

发现这一情况之后，卡巴斯基实验室的研究人员立即联系了NetSarang。该公司反应迅速，很快发布了不含恶意代码的更新版软件。

根据卡巴斯基实验室研究，截止到目前，这种软件中的恶意代码仅在香港激活过。但是，这些恶意代码可能在全球很多系统上处于休眠状态，特别是如果用户尚未安装受影响软件的更新版本的情况下。

在对攻击者使用的技巧进行分析时，卡巴斯基实验室研究人员得出结论，有些攻击技巧同之前PlugX和Winnti攻击组织所使用的非常相似，而上述两个网络间谍攻击组织是说中文的。然而，这些信息还不足以将这些攻击者准确地联系在一起。

“ShadowPad是一个很好的示例，表明了成功的供应链攻击可以有多危险，可以达到何等规模。鉴于攻击者可以让攻击者获得访问和数据收集的机会，很可能这种攻击方式将会被多次复制，而对象则是其他使用广泛的软件。幸运的是，NetSarang很快就对我们的通知做出反应，发布了一个未被感染的软件更新，很可能避免了其客户遭受数百次窃取数据的攻击。而且，这次案例表明，大型企业应该依靠能够监测网络活动和检测异常情况的高级解决方案。这样，即使攻击者的攻击手段非常复杂，将恶意软件隐藏在合法软件中，高级安全解决方案仍然能够检测到恶意行为，”卡巴斯基实验室全球研究和分析团队安全专家Igor Soumenkov说。

NetSarang发表的声明

“为了应对不断变化的网络攻击环境，NetSarang采取了多种手段和措施防止我们的产品被入侵、感染或被网络间谍组织所利用。遗憾的是，2017年7月18日，我们的全系列产品的一个Build版本在我们不知情的情况下被植入了一个后门程序，而且其制作者可能会利用其实施攻击。

确保我们客户和用户的安全是我们的优先任务，也是我们的责任。恶意组织和实体利用商业和合法软件进行非法获利的事实越来越多地引起人们的担忧，NetSarang以及计算机软件行业其他企业对此非常重视。

NetSarang致力于保护用户隐私，并且整合了更为强大的系统，确保这样的情况不会再发生。NetSarang将继续评估和改进自身的安全，不仅是为了打击全球的网络间谍组织，更是为了重获其忠实用户群的信任。”

所有卡巴斯基实验室产品将ShadowPad恶意软件检测为“Backdoor.Win32.ShadowPad.a”。

卡巴斯基实验室建议用户立刻更新NetSarang软件到最新版本，因为新版中已经移除了恶意模块，同时检查自身系统中是否有不同寻常的域名DNS请求。恶意模块使用的命令服务器域名列表参见Securelist上的博文，其中还包括对这种后门程序的深入技术分析。

关于卡巴斯基实验室

卡巴斯基实验室是一家成立于1997年的全球网络安全公司，到2017年，成立已经20年。卡巴斯基实验室不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基实验室技术保护自己，我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.

关于NetSarang

NetSarang Computer, Inc在全球市场开发、销售和支持安全连接解决方案。 该公司开发了一系列用于PC到Unix和PC到Linux的PC X服务器和SSH客户端软件，并将其TCP / IP网络技术扩展到其他互联网业务。 该公司向全球90多个国家提供产品和服务。