知名终端模拟软件XSHELL多版本存在后门,或上传用户服务器账号密码!

Author Avatar
Gcod 8月 15, 2017
  • 在其它设备中阅读本文章

https://wx1.vv1234.cn/o_1bnl6o0pgein5gf1mqs1fi510hoa.png 简介:


Xshell是一款强大,著名的终端模拟软件,
被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。
它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。
企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,
自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。
Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。
这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。
使用Xshell执行终端任务节省时间和精力。
目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.
日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,
发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:
https://wx1.vv1234.cn/o_1bnl6pits191tvg51qe3vlm1e0qa.png
官方公告:

值得一提的是1326的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞(66666…Orz) https://wx1.vv1234.cn/o_1bnl6rsdh1m1bv1gfni1uk115va.png 简要分析


360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。
该域名开启了隐私保护,且只能查询到NS记录:
https://wx1.vv1234.cn/o_1bnl6t17r152g2roktc1cnlp7ha.png
数据来源360CERT
此外,该域名还会向多个超长域名做渗出,
且域名采用了DGA生成算法,通过DNS解析时渗出数据。
部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com


基本流程 https://wx1.vv1234.cn/o_1bnl6u5h99apkcb1hr41re5106ra.png

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,
DLL本身有厂商合法的数字签名,
但已经被多家安全厂商标记为恶意:
https://wx1.vv1234.cn/o_1bnl6vgfa1j5hk9v12be1cl412t7a.png
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册


2017-06 vwrcbohspufip.com
2017-07 ribotqtonut.com
2017-08 nylalobghyhirgh.com
2017-09 jkvmdmjyfcvkf.com
2017-10 bafyvoruzgjitwr.com
2017-11 xmponmzmxkxkh.com
2017-12 tczafklirkl.com

存在后门版本(已验证)

Xshell Build 5.0.1322 Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218
Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220
PS:国内大量下载站,目前都是上述有问题的版本
行为特征

存在后门的版本会向nylalobghyhirgh.com发起请求,
一天的访问量超过800万…
除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。
https://wx1.vv1234.cn/o_1bnl70hbd54h1c3j1mik1gq0gtca.png
数据来源360网络安全研究院 域名whois信息,该域名开启了隐私保护。
https://wx1.vv1234.cn/o_1bnl72n77ubu1ohniaqf0u1acea.jpg
数据来源360网络安全研究院 数据传输疑似通过DNS外带 https://wx1.vv1234.cn/o_1bnl74isk1fnshsu1f2d1fmn1sqma.png
数据来源360网络安全研究院
没有问题的版本

Xmanager Enterprise Build 1236
Xmanager Build 1049 Xshell Build 1326
Xftp Build 1222 Xlpd Build 1224
https://download.netsarang.com(primary) https://download.netsarang.co.kr
解决办法

  1. 去官网网站下载更新最新版本
  2. 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。

NetSarang官方回复

https://wx1.vv1234.cn/o_1bnl75is9df11jfc96okv817vda.png
1322版本存在后门。我们发布了1326版本修复了这个后门问题。
请立即更新避免继续受到该问题的影响。

参考来源

360网络安全研究院
360天眼实验室
360追日团队
360网络安全响应中心:
https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb
360威胁情报中心:
http://mp.weixin.qq.com/s/YAtWrn6XzogOMEjQTww9RQ
本篇文章转自@安全客

版权声明:若无特殊说明,本站默认遵循 署名-非商业性使用-相同方式共享(CC BY-NC-SA)4.0 国际许可协议
本文链接:https://vv1234.cn/archives/259.html