零玖博客

知名终端模拟软件 XSHELL 多版本存在后门,或上传用户服务器账号密码!

https://wx1.vv1234.cn/o_1bnl6o0pgein5gf1mqs1fi510hoa.png

简介:


Xshell 是一款强大, 著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括: 标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括: 通过拖放文件进行 Zmodem 文件上传和 Zmodem 文件下载,简易模式,全屏模式,透明度选项和自定义布局模式, 等。使用 Xshell 执行终端任务节省时间和精力。

目前 xshell 最高版本为 Xshell 5 Build 1326 该版本更新于 2017 年 8 月 5 日.

日前,360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中,发布的 nssock2.dll 模块中存在恶意代码,在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在:

https://wx1.vv1234.cn/o_1bnl6pits191tvg51qe3vlm1e0qa.png

官方公告:


值得一提的是 1326 的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞 (66666...Orz)

https://wx1.vv1234.cn/o_1bnl6rsdh1m1bv1gfni1uk115va.png

简要分析


360CERT 通过行为分析发现后门会对一个箱子域名 「nylalobghyhirgh.com」 发起请求。

该域名开启了隐私保护,且只能查询到 NS 记录:

https://wx1.vv1234.cn/o_1bnl6t17r152g2roktc1cnlp7ha.png

数据来源 360CERT

此外,该域名还会向多个超长域名做渗出,且域名采用了 DGA 生成算法,通过 DNS 解析时渗出数据。

部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

基本流程

https://wx1.vv1234.cn/o_1bnl6u5h99apkcb1hr41re5106ra.png

Xshell 相关的用于网络通信的组件 nssock2.dll 被发现存在后门类型的代码,DLL 本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:

https://wx1.vv1234.cn/o_1bnl6vgfa1j5hk9v12be1cl412t7a.png

每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册


2017-06    vwrcbohspufip.com

2017-07    ribotqtonut.com

2017-08    nylalobghyhirgh.com

2017-09    jkvmdmjyfcvkf.com

2017-10    bafyvoruzgjitwr.com

2017-11    xmponmzmxkxkh.com

2017-12    tczafklirkl.com

存在后门版本 (已验证)


Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS:国内大量下载站,目前都是上述有问题的版本

行为特征


存在后门的版本会向 nylalobghyhirgh.com 发起请求,一天的访问量超过 800 万... 除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。

https://wx1.vv1234.cn/o_1bnl70hbd54h1c3j1mik1gq0gtca.png

数据来源 360 网络安全研究院

域名 whois 信息,该域名开启了隐私保护。

https://wx1.vv1234.cn/o_1bnl72n77ubu1ohniaqf0u1acea.jpg

数据来源 360 网络安全研究院

数据传输疑似通过 DNS 外带

https://wx1.vv1234.cn/o_1bnl74isk1fnshsu1f2d1fmn1sqma.png

数据来源 360 网络安全研究院

没有问题的版本


Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

https://download.netsarang.com(primary)

https://download.netsarang.co.kr

解决办法


  1. 去官网网站下载更新最新版本
  2. 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了 (用户名、主机名、网络信息等),其他信息还在进一步核实。

NetSarang 官方回复


https://wx1.vv1234.cn/o_1bnl75is9df11jfc96okv817vda.png

1322 版本存在后门。我们发布了 1326 版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。

参考来源


360 网络安全研究院

360 天眼实验室

360 追日团队

360 网络安全响应中心:https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb

360 威胁情报中心:http://mp.weixin.qq.com/s/YAtWrn6XzogOMEjQTww9RQ

本篇文章转自 @安全客

退出移动版