简介:
Xshell 是一款强大, 著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括: 标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。
Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括: 通过拖放文件进行 Zmodem 文件上传和 Zmodem 文件下载,简易模式,全屏模式,透明度选项和自定义布局模式, 等。使用 Xshell 执行终端任务节省时间和精力。
目前 xshell 最高版本为 Xshell 5 Build 1326 该版本更新于 2017 年 8 月 5 日.
日前,360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中,发布的 nssock2.dll 模块中存在恶意代码,在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在:
官方公告:
值得一提的是 1326 的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞 (66666...Orz)
简要分析
360CERT 通过行为分析发现后门会对一个箱子域名 「nylalobghyhirgh.com」 发起请求。
该域名开启了隐私保护,且只能查询到 NS 记录:
数据来源 360CERT
此外,该域名还会向多个超长域名做渗出,且域名采用了 DGA 生成算法,通过 DNS 解析时渗出数据。
部分生成域名如下:
sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com
基本流程
Xshell 相关的用于网络通信的组件 nssock2.dll 被发现存在后门类型的代码,DLL 本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册
2017-06 vwrcbohspufip.com
2017-07 ribotqtonut.com
2017-08 nylalobghyhirgh.com
2017-09 jkvmdmjyfcvkf.com
2017-10 bafyvoruzgjitwr.com
2017-11 xmponmzmxkxkh.com
2017-12 tczafklirkl.com
存在后门版本 (已验证)
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
PS:国内大量下载站,目前都是上述有问题的版本
行为特征
存在后门的版本会向 nylalobghyhirgh.com 发起请求,一天的访问量超过 800 万... 除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。
数据来源 360 网络安全研究院
域名 whois 信息,该域名开启了隐私保护。
数据来源 360 网络安全研究院
数据传输疑似通过 DNS 外带
数据来源 360 网络安全研究院
没有问题的版本
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
https://download.netsarang.com(primary)
https://download.netsarang.co.kr
解决办法
- 去官网网站下载更新最新版本
- 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了 (用户名、主机名、网络信息等),其他信息还在进一步核实。
NetSarang 官方回复
1322 版本存在后门。我们发布了 1326 版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。
参考来源
360 网络安全研究院
360 天眼实验室
360 追日团队
360 网络安全响应中心:https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb
360 威胁情报中心:http://mp.weixin.qq.com/s/YAtWrn6XzogOMEjQTww9RQ
本篇文章转自 @安全客