Home / 뉴스 & 공지사항

2017.07.18 배포한 패키지에 대한 긴급 업데이트 공지

작성일: 2017-08-07

갱신일: 2017-08-11

갱신일: 2017-08-16

2017년 7월 18일 배포한 당사의 소프트웨어에 변조된 파일이 포함되어 있는 것을 확인하였습니다.
문제되는 부분이 제거된 소프트웨어를 배포하였으니 해당되는 빌드를 사용하고 계시면 프로그램 업데이트를 해 주시기 바랍니다.


2017년 8월 15일 카스퍼스키랩은 이 악성코드가 ShadowPad 종류이고 홍콩에서 작동한 사례가 하나 있다고 보고했습니다. 다만 관련성이나 어떤 활동을 했는지에 대해서는 확인 중에 있습니다.

문제의 제품(빌드)

  • Xmanager Enterprise 5.0 빌드 1232
  • Xmanager 5.0 빌드 1045
  • Xshell 5.0 빌드 1322
  • Xftp 5.0 빌드 1218
  • Xlpd 5.0 빌드 1220

문제의 빌드 확인 방법

  • Anti-virus 프로그램이 감지하여 삭제하는 경우
    카스퍼스키랩과의 협조 아래 멀웨어 정보가 제공되었습니다. 백신을 업데이트하였다면 이미 삭제되었을 수도 있습니다.
  • 레지스트리 정보 :
    HKLM\Software\NetSarang\[제품]\5 : Version
    또는
    HKLM\Software\Wow6432Node\Netsarang\[제품]\5 : Version
  • c:\program files (x86)\NetSarang\[프로그램]\nssock2.dll 파일의 크기가 180,432바이트인 경우
  • 프로그램을 실행 중인 경우 : 도움말 -> [프로그램 이름] 정보
    이 경우 프로그램을 바로 중지하고 업데이트를 진행해 주시기 바랍니다.

문제가 없는 제품(버전, 빌드)

  • Xmanager Enterprise 2, 3, 4
  • Xmanager 2, 3, 4
  • Xshell 2, 3, 4
  • Xftp 2, 3, 4
  • Xlpd 2, 3, 4
    ==================================
  • Xmanager Enterprise 5 중에서빌드 1232 아닌 것
  • Xmanager 5 중에서 빌드 1045 아닌 것
  • Xshell 5 중에서 빌드 1322 아닌 것
  • Xftp 5 중에서 빌드 1218 아닌 것
  • Xlpd 5 중에서 빌드 1220 아닌 것

해결 방법

새로운 패키지를 다운로드 후 설치합니다. 새로 설치하여도 세션 파일 등 기존 사용 환경을 유지합니다.


2017.08.11까지 확인된 내용

  • 위 문제의 빌드에서 악성 코드 발견
  • 해당 악성 코드는 인터넷 연결을 위해 DNS 질의 과정 중 탐지됨.
  • DNS 질의에 실패(해당 도메인이 작동을 안하고 있음)하여 실제 인터넷 연결을 하지 못함.
  • 카스퍼스키랩, V3, 알약, 네이버 백신 등에 안잡히는 신종 코드이나 2017.08.07 이후 업데이트에서 인지 후 잡아내고 있음.
  • 위 문제의 빌드가 설치된 PC에 위 백신 소프트웨어로 전체 검사를 해도 문제가 되는 nssock2.dll 외에 추가적으로 탐지되는 악성 코드는 없음.
  • 목적 또는 성격:
    • 최종 조사 결과가 아직 나오지 않았음.
    • 자체 증식성 아님.
    • 현재 활동 중이 아님.
    • 백신 개발 업체와 KISA의 중간 보고 성격의 보고에 따르면 백도어로 의심됨.
  • 2017.08.05일자 업데이트 패키지는 무결한 것 확인.

권고 사항

  • PC 재부팅.
  • 넷사랑컴퓨터 홈페이지에서 최신의 빌드로 업데이트 또는 새로 설치.(새로 설치하여도 기존에 사용하던 세션 파일은 유지됩니다.)
  • 사용 중인 백신 프로그램을 최신 정보로 업데이트한 후 전체 검사 실행
  • 관리 중인 서버들의 계정 정보 탈취가 목적이었을 수 있으므로 다음과 같은 조치를 취하시기를 권고합니다.
    • 관리 서버의 비밀번호 교체.
    • 인증 방법의 다변화 : 비밀번호 인증 => 퍼블릭 키 인증, OTP 인증
    • Xshell의 멀티 세션 기능과 모든 세션으로 키 입력 보내기 기능, 다중 세션 파일 수정 기능을 이용하시면 도움이 될 것 같습니다.


이 문제에 대해서 관계 기관(KISA 등) 및 관련 업체(카스퍼스키 등)와 협력을 통해 계속해서 확인해 보겠습니다.

불편과 심려를 끼쳐 드려 대단히 죄송합니다.

새로운 내용이 나오는 대로 다시 이곳 공지에 추가하겠습니다.

다운로드 바로가기 »