【重大安全事件】终端软件XSHELL多个版本存在后门，疑似收集管理员用户名和密码[2017.08.16更新]

BaCde 2440天前

Xshell是一款强大,著名的终端模拟软件，被广泛的用于服务器运维和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

日前，360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中，发布的nssock2.dll模块中存在恶意代码，在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在。

xshell官方更新公告

360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

2017年8月15日，360天眼实验室发布了针对DNS数据的解密文章和相应解密工具。解密工具下载地址(解密技术文章请参考引用)：

链接：http://pan.baidu.com/s/1gfy4ImZ

密码：vugv

根据网络中公开数据解密后的部分数据内容

此外，该域名还会向多个超长域名做渗出，且域名采用了DGA生成算法，通过DNS解析时渗出数据。

部分生成域名如下：

每个月通过特定算法生成一个新的控制域名，目前部分已经被作者注册

2017-06 vwrcbohspufip.com

2017-07 ribotqtonut.com

2017-08 nylalobghyhirgh.com

2017-09 jkvmdmjyfcvkf.com

2017-10 bafyvoruzgjitwr.com

2017-11 xmponmzmxkxkh.com

2017-12 tczafklirkl.com

XSHELL作恶过程（此图来自腾讯管家，图侵删）

整个作恶过程分为3部分，第一部分是被patch的XShell启动后，执行到恶意的shellcode1。shellcode1解密后续数据后，执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项，如果不存在Data键值，则会收集用户信息，通过DNS 协议传走，并获取云端配置数据写回到注册表。第三部分，如果注册表项中有该键值，则会开始执行后续的恶意行为，通过注册表中的key来解密出shellcode3，最终会创建svchost进程，并盗取主机信息。下面我们就分别介绍一下各个过程。

根据360安全团队认证，存在后门版本。在这里白帽汇提醒大家，可能还有其他未知的版本存在后门，请大家注意升级。

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

目前确认没有问题的版本

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326