Categories: SicherheitVirus

ShadowPad: Kaspersky warnt vor Hintertür in Server-Management-Software

Kaspersky Lab hat eine Hintertür in Server-Management-Software des Anbieters NetSarang entdeckt. Aufmerksam wurden die Forscher auf die ShadowPad genannte Backdoor bei der Untersuchung von verdächtigen DNS-Anfragen im Netzwerk eines Kunden aus der Finanzbranche. Offenbar ist es bisher noch nicht identifizierten Cyberkriminellen gelungen, heimlich eine mit dem Schadcode versehene Bibliothek (nssock2.dll) in die legitime Software von NetSarang einzuschleusen.

Die Backdoor lässt sich der Analyse zufolge aus der Ferne aktivieren. Da der Schadcode in mehreren Schichten aus verschlüsseltem Programmcode versteckt war, wurde er von Sicherheitssoftware – offenbar auch von Produkten von Kaspersky Lab – nicht erkannt. Eine mehrstufige Architektur soll zudem dafür gesorgt haben, dass die Backdoor nur nach dem Empfang eines speziellen Datenpakets von einem Aktivierungsserver ihre Arbeit aufnahm. Bis zu dem Zeitpunkt übertrug ShadowPad alle acht Stunden lediglich die Namen des Computers, der Domäne und der vorhanden Benutzer.

Kaspersky beschreibt ShadowPad zudem als eine „modulare Backdoor-Plattform“. „Sie kann vom Befehlsserver zur Verfügung gestellten Code herunterladen und ausführen sowie ein virtuelles Dateisystem (VFS) in der Registry anlegen. Das VFS und weitere durch den Schadcode erzeugte Dateien werden verschlüsselt und in einem für jedes Opfer individuellen Verzeichnis gespeichert. Die Fernzugriffsfunktion beinhaltet einen Algorithmus für die Erzeugung der Domain des Befehlsservers, die sich jeden Monat ändert. Die Angreifer haben bereits die Domains für die Monate Juli bis Dezember 2017 registriert“, heißt es im Blog von Kaspersky Lab.

Die DLL-Datei mit der enthaltenen Backdoor in einer Liste der geladenen Module der Software Xshell5 (Screenshot: Kaspersky)

Bisher wurde der Schadcode nur in einem Unternehmen in Hongkong nachgewiesen. Kaspersky rät jedoch allen Nutzern von NetSarang-Produkten, eine mögliche Kompromittierung der eigenen Systeme durch die manipulierte Software zu prüfen. Betroffen sind nach Angaben des Herstellers die Anwendungen Xmanager Enterprise 5 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 und Xlpd 5.0 Build 1220.

NetSarang betont in einem Advisory, dass alle Releases vor und nach den genannten Builds nicht betroffen sind. „Sollten Sie eines dieser Builds benutzen, empfehlen wir dringend die Nutzung der Software einzustellen, bis Sie ihre Clients aktualisiert haben.“ Unter anderem seien nun Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222, and Xlpd Build 1224 sicher. Zudem hätten die meisten Hersteller von Antivirenprogrammen ihre Signaturen aktualisiert, so dass die nun in der Lage seien, die gefährliche DLL-Datei zu löschen oder unter Quarantäne zu stellen. In dem Fall sei die NetSarang-Software erst nach einem Update auf die jüngste Version wieder funktionsfähig.

Laut Kaspersky Lab ist der Vorfall ein Beispiel für einen erfolgreichen Angriff auf die Lieferkette. „Angesichts der Möglichkeiten für eine verdeckte Datensammlung werden Angreifer wahrscheinlich diese Art von Angriff immer wieder mit anderen weit verbreiteten Softwarekomponenten versuchen“, ergänzte Kaspersky Lab. Da NetSarang schnell reagiert habe, seien wahrscheinlich Hunderte Angriffe auf Kunden des Unternehmens verhindert worden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

2 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

3 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago