netsarang是什么软件(xmanager enterprise 5 对于个人使用也开始收费了吗)

Netsarang是一个提供远程服务器管理的软件公司，旗下产品包括Xmanager、Xshell等。其主要功能是远程连接Unix/Linux主机并实现远程X服务。

服务器“后门”大开，金融、能源已成数据泄露重灾区

近日，安全研究人员发现NetSarang的服务器管理软件被嵌入ShadowPad后门程序。该后门程序不仅能够下载并执行其它恶意软件，还会窃取用户数据，导致用户敏感信息泄露。亚信安全已经截获该后门程序，将其命名为TROJ_SHADOWPACK.A。

NetSarang产品包括网络管理软件、服务器和系统管理工作站软件，如：Xmanager，Xshell。由于该软件被大量用户使用，所以其影响行业范围比较广，包括银行金融机构、能源行业以及制药行业等。

NetSarang已经承认此次后门事件，并开始实施策略。据NetSarang透露，他们已经开始建立全新独立的基础设施，检查每个设备，列出白名单，然后将这些设备依次放到新的基础设施中。这个过程可能要几周的时间，目的是要保证NetSarang不再发生类似事件。

ShadowPad技术细节分析

通过深入分析，我们发现ShadowPad每隔8小时会被唤起，向攻击者控制的域发送被感染系统的相关信息。每个月会唤起不同的域。如果攻击者对收到的信息感兴趣，其会通过命令和控制（CC）服务器发送指令，触发后门程序执行其它的有效载荷，获取更多有价值信息。

我们在动态链接库文件nssock2.dll中发现了ShadowPad恶意代码，值得注意的是，该病毒的加密层和功能层机制会阻止后门激活，其只有收到CC服务器发送的特定数据包后才能激活。与之前putty汉化版被植入后门不同，此次黑客是在源码中植入后门，导致NetSarang的官方版本也受到影响。并且由于dll文件已有官方签名，众多杀毒软件依据白名单机制没有报毒。

受影响的版本：

•XmanagerEnterprise5.0Build1232

•Xmanager5.0Build1045

•Xshell5.0Build1322

•Xftp5.0Build1218

•Xlpd5.0Build1220

如何确认是否感染该后门程序？

可通过查看nssock2.dll的版本来确定是否受此影响：在软件安装目录下找到nssock2.dll文件，右键查看文件属性，如果版本号为5.0.0.26则存在恶意代码：

纵观过去，合法软件被注入恶意程序进行传播屡见不鲜，NetSarang后门事件只是其中之一。此外，合法的财务软件被用来传播Petya勒索病毒；BitTorrent客户端被嵌入Mac勒索病毒KeRanger；甚至于官方版本的在线游戏感染了臭名昭著的PlugX后门程序；基于Mac的开源视频转码应用程序的镜像下载服务器也被用来传播Proton后门等等。

网络威胁无处不在，我们建议用户加强网络基础设施安全性，建立合理的安全保护机制，如网络分段、数据分类以及数据加密等，防止数据泄露及破坏。

亚信安全教你如何防范

目前厂商NetSarang已经修复了该问题，请及时升级软件版本。

亚信安全病毒码版本13.594.60(云病毒码版本13.594.71)已经可以检测，请用户及时升级病毒码版本。

亚信安全TDA已经更新规则，可以有效检测此类威胁，规则如下：

2308:PossibleDGA-DNS(Response)