黑客篡改 NetSarang 软件更新机制，在企业网络中传播 ShadowPad 后门

卡巴斯基实验室最近发现，有攻击者篡改 NetSarang 软件更新流程，令目标系统感染 ShadowPad 后门。软件升级机制现如今已经是个很有效的攻击向量—— NotPetya 最初就是通过感染乌克兰金融软件提供商 MeDoc 的软件供应链扩散的。攻击者上个月正是入侵了 NetSarang 开发的服务器管理软件包更新流程，令更新包含后门。

NetSarang Computer 是提供安全连接解决方案，专注于服务器管理工具开发的企业，金融、能源、零售、技术等领域的许多大型企业都是其客户。今年 7 月，卡巴斯基在针对某金融合作伙伴网络可疑 DNS 请求调查中发现了异常，针对 DNS 查询的深入调查最后定位到 NetSarang，可疑 DNS 查询来源是 NetSarang 的一个软件包。从更新包中移除恶意库 nssock2.dll 之后，软件更新进程才得以清理。

攻击者偷偷修改了 NetSarang 部署的软件，加入加密 payload，可被远程激活。攻击者还利用多层加密代码来隐藏 ShadowPad 后门，在从第一层 C&C 服务器获取到特定包之后才会激活，模块会将目标信息（域、用户名、系统日期、网络配置）发回 C&C DNS 服务器，获得加密密钥执行下一阶段代码，最终激活 ShadowPad 后门。该后门可用于在感染系统中下载执行任意代码。专家认为这波攻击始于 7 月中旬，首个 ShadowPad 后门编译日期是 7 月 13 日，而且用合法 NetSarang 证书签署了恶意代码。NetSarang 已经开始催促客户检查后门存在性。