Home / 뉴스 & 공지사항

2017.07.18 배포한 패키지에 대한 긴급 업데이트 공지

작성일: 2017-08-07

갱신일: 2017-08-11

갱신일: 2017-08-16

2017년 7월 18일 배포한 당사의 소프트웨어에 변조된 파일이 포함되어 있는 것을 확인하였습니다.
문제되는 부분이 제거된 소프트웨어를 배포하였으니 해당되는 빌드를 사용하고 계시면 프로그램 업데이트를 해 주시기 바랍니다.


2017년 8월 15일 카스퍼스키랩은 이 악성코드가 ShadowPad 종류이고 홍콩에서 작동한 사례가 하나 있다고 보고했습니다. 다만 관련성이나 어떤 활동을 했는지에 대해서는 확인 중에 있습니다.

문제의 제품(빌드)

  • Xmanager Enterprise 5.0 빌드 1232
  • Xmanager 5.0 빌드 1045
  • Xshell 5.0 빌드 1322
  • Xftp 5.0 빌드 1218
  • Xlpd 5.0 빌드 1220

문제의 빌드 확인 방법

  • Anti-virus 프로그램이 감지하여 삭제하는 경우
    카스퍼스키랩과의 협조 아래 멀웨어 정보가 제공되었습니다. 백신을 업데이트하였다면 이미 삭제되었을 수도 있습니다.
  • c:\program files (x86)\NetSarang\[프로그램]\nssock2.dll 파일의 크기가 180,432바이트인 경우
  • 프로그램을 실행 중인 경우 : 도움말 -> [프로그램 이름] 정보
    이 경우 프로그램을 바로 중지하고 업데이트를 진행해 주시기 바랍니다.

문제가 없는 제품(버전, 빌드)

  • Xmanager Enterprise 2, 3, 4
  • Xmanager 2, 3, 4
  • Xshell 2, 3, 4
  • Xftp 2, 3, 4
  • Xlpd 2, 3, 4
    ==================================
  • Xmanager Enterprise 5 중에서빌드 1232 아닌 것
  • Xmanager 5 중에서 빌드 1045 아닌 것
  • Xshell 5 중에서 빌드 1322 아닌 것
  • Xftp 5 중에서 빌드 1218 아닌 것
  • Xlpd 5 중에서 빌드 1220 아닌 것

해결 방법

새로운 패키지를 다운로드 후 설치합니다. 새로 설치하여도 세션 파일 등 기존 사용 환경을 유지합니다.


2017.08.11까지 확인된 내용

  • 위 문제의 빌드에서 악성 코드 발견
  • 해당 악성 코드는 인터넷 연결을 위해 DNS 질의 과정 중 탐지됨.
  • DNS 질의에 실패(해당 도메인이 작동을 안하고 있음)하여 실제 인터넷 연결을 하지 못함.
  • 카스퍼스키랩, V3, 알약, 네이버 백신 등에 안잡히는 신종 코드이나 2017.08.07 이후 업데이트에서 인지 후 잡아내고 있음.
  • 위 문제의 빌드가 설치된 PC에 위 백신 소프트웨어로 전체 검사를 해도 문제가 되는 nssock2.dll 외에 추가적으로 탐지되는 악성 코드는 없음.
  • 목적 또는 성격:
    • 최종 조사 결과가 아직 나오지 않았음.
    • 자체 증식성 아님.
    • 현재 활동 중이 아님.
    • 백신 개발 업체와 KISA의 중간 보고 성격의 보고에 따르면 백도어로 의심됨.
  • 2017.08.05일자 업데이트 패키지는 무결한 것 확인.

권고 사항

  • PC 재부팅.
  • 넷사랑컴퓨터 홈페이지에서 최신의 빌드로 업데이트 또는 새로 설치.(새로 설치하여도 기존에 사용하던 세션 파일은 유지됩니다.)
  • 사용 중인 백신 프로그램을 최신 정보로 업데이트한 후 전체 검사 실행
  • 관리 중인 서버들의 계정 정보 탈취가 목적이었을 수 있으므로 다음과 같은 조치를 취하시기를 권고합니다.
    • 관리 서버의 비밀번호 교체.
    • 인증 방법의 다변화 : 비밀번호 인증 => 퍼블릭 키 인증, OTP 인증
    • Xshell의 멀티 세션 기능과 모든 세션으로 키 입력 보내기 기능, 다중 세션 파일 수정 기능을 이용하시면 도움이 될 것 같습니다.


이 문제에 대해서 관계 기관(KISA 등) 및 관련 업체(카스퍼스키 등)와 협력을 통해 계속해서 확인해 보겠습니다.

현재까지는 해당 파일이 특별한 기능을 하지 않는 것으로 파악하고 있지만 불편과 심려를 끼쳐 드려 대단히 죄송합니다.

결과가 나오는 대로새로운 내용이 나오는 대로 다시 이곳 공지에 추가하겠습니다.

다운로드 바로가기 »