Backdoor u popularnom softveru za održavanje servera

Backdoor u popularnom softveru za održavanje servera

Napadači su počeli koristiti novu tehniku za širenje virusa. Umjesto napada na korisnike napadaju mehanizme za ažuriranje u koje ubacuju maliciozni kod. Ovaj metod smanjuje šansu za otkrivanje dok istovremeno povećava broj zaraženih računara, jer korisnici ne sumnjaju u mehanizme za ažuriranje legitimnih aplikacija. Prednost ove vrste napada je i to što su zaražene aplikacije najčešće digitalno potpisane.

Posljednji u nizu ovakvih napada pogodio je kompaniju NetSarang. NetSarang je autor više softverskih proizvoda za upravljanje serverima, a koriste ih stotine banaka, medijskih, telekomunikacionih, energetskih i farmaceutskih kompanija.

Napadači su preuzimanjem mehanizma za dostavljanje ažuriranja uspjeli da ubace backdoor, nazvan ShadowPad, koji je ostao neotkriven 17 dana. Ovaj backdoor je omogućio napadačima pristup korisničkim računarima i mogućnost udaljenog izvršavanja komandi.

Pogođene su sljedeće aplikacije:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

Ukoliko koristite neki od ovih proizvoda preporučujemo vam da primijenite najnovija ažuriranja.

ShadowPad je sofisticiran backdoor koji je sakriven korišćenjem više kriptografskih tehnika, a aktivira se specijalnim DNS zahtjevom koji se generiše na osnovu trenutnog datuma. Virus periodično, svakih osam sati, kontaktira server.

Kada se aktivira virus šalje upit kontrolnom DNS serveru koji mu šalje ključeve za dekripciju. Nakon aktiviranja ShadowPad omogućava preuzimanje i izvršavanje proizvoljnih komanid, kreiranje procesa i održavanje virtuelnog fajl sistema koji se čuva enkriptovan u registry-u na lokaciji koja je unikatna za svakog zaraženog.

Neki od domena na kojima se nalaze C2 server za ShadowPad su:

  • ribotqtonut[.]com
  • nylalobghyhirgh[.]com
  • jkvmdmjyfcvkf[.]com
  • bafyvoruzgjitwr[.]com
  • xmponmzmxkxkh[.]com
  • tczafklirkl[.]com
  • notped[.]com
  • dnsgogle[.]com
  • operatingbox[.]com
  • paniesx[.]com
  • techniciantext[.]com

Izvor:thehackernews.com

Leave a Reply