Backdoor in Server-Management-Lösung für Großanwender entdeckt

Die Server-Management-Software des Anbieters NetSarang bietet Hackern eine Hintertür, warnen die Sicherheitsexperten von Kaspersky. NetSarang kommt vor allem bei größeren Umgebungen zum Einsatz.

Das Leck ShadowPad haben die Experten von Kaspersky laut eigenen Angaben bei der Untersuchung von verdächtigen DNS-Anfragen im Netzwerk eines Kunden aus der Finanzbranche entdeckt. Offenbar scheint es den Cyberkriminellen aber bislang noch nicht gelungen zu sein, eine mit dem Schadcode versehene Bibliothek (nssock2.dll) in die legitime Software von NetSarang einzuschleusen.

Diese Hintertür lasse sich remote aktivieren. Der Schadcode wird in mehreren Schichten aus verschlüsseltem Programmcode versteckt. Dadurch schafften es die Kriminellen, die gängigen Sicherheitslösungen zu täuschen. Auch die Kaspersky-Produkte wurden auf diese Weise getäuscht. Eine mehrstufige Architektur soll zudem dafür gesorgt haben, dass die Backdoor nur nach dem Empfang eines speziellen Datenpakets von einem Aktivierungsserver aktiviert wurde. Bis zu dem Zeitpunkt übertrug ShadowPad alle acht Stunden lediglich die Namen des Computers, der Domäne und der vorhanden Benutzer.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kaspersky beschreibt ShadowPad zudem als eine modulare Backdoor-Plattform. “Sie kann vom Befehlsserver zur Verfügung gestellten Code herunterladen und ausführen sowie ein virtuelles Dateisystem (VFS) in der Registry anlegen. Das VFS und weitere durch den Schadcode erzeugte Dateien werden verschlüsselt und in einem für jedes Opfer individuellen Verzeichnis gespeichert. Die Fernzugriffsfunktion beinhaltet einen Algorithmus für die Erzeugung der Domain des Befehlsservers. Der wird monatlich geändert. Die Angreifer hätten bereits die Domains für die Monate Juli bis Dezember 2017 registriert.

Über die DLL-Datei spielen die Hacker die Backdoor auf, wie hier in der Software Xshell5. (Screenshot: Kaspersky)

Bisher wurde der Schadcode nur in einem Unternehmen in Hongkong nachgewiesen. Kaspersky rät jedoch allen Nutzern von NetSarang-Produkten, eine mögliche Kompromittierung der eigenen Systeme durch die manipulierte Software zu prüfen. Betroffen sind nach Angaben des Herstellers die Anwendungen Xmanager Enterprise 5 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 und Xlpd 5.0 Build 1220.

NetSarang betont in einem Advisory, dass alle Releases vor und nach den genannten Builds nicht betroffen sind. “Sollten Sie eines dieser Builds benutzen, empfehlen wir dringend die Nutzung der Software einzustellen, bis Sie ihre Clients aktualisiert haben.”

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222 und Xlpd Build 1224 seien laut Hersteller sicher. Zudem würden nach einer Aktualisierung, die Antivirenprogrammen die fragliche DLL-Datei löschen oder unter Quarantäne stellen. In dem Fall sei die NetSarang-Software erst nach einem Update auf die jüngste Version wieder funktionsfähig.

Laut Kaspersky Lab ist der Vorfall ein Beispiel für einen erfolgreichen Angriff auf die Lieferkette. “Angesichts der Möglichkeiten für eine verdeckte Datensammlung werden Angreifer wahrscheinlich diese Art von Angriff immer wieder mit anderen weit verbreiteten Softwarekomponenten versuchen”, ergänzte Kaspersky Lab. Da NetSarang schnell reagiert habe, seien wahrscheinlich Hunderte Angriffe auf Kunden des Unternehmens verhindert worden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago