【重大安全事件】终端软件XSHELL多个版本存在后门,疑似收集管理员用户名和密码[2017.08.16更新]
Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。
目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.
日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在。
xshell官方更新公告
360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。
2017年8月15日,360天眼实验室发布了针对DNS数据的解密文章和相应解密工具。解密工具下载地址(解密技术文章请参考引用):
链接:http://pan.baidu.com/s/1gfy4ImZ
密码:vugv
根据网络中公开数据解密后的部分数据内容
此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。
部分生成域名如下:
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册
2017-06 vwrcbohspufip.com
2017-07 ribotqtonut.com
2017-08 nylalobghyhirgh.com
2017-09 jkvmdmjyfcvkf.com
2017-10 bafyvoruzgjitwr.com
2017-11 xmponmzmxkxkh.com
2017-12 tczafklirkl.com
XSHELL作恶过程(此图来自腾讯管家,图侵删)
整个作恶过程分为3部分,第一部分是被patch的XShell启动后,执行到恶意的shellcode1。shellcode1解密后续数据后,执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项,如果不存在Data键值,则会收集用户信息,通过DNS 协议传走,并获取云端配置数据写回到注册表。第三部分,如果注册表项中有该键值,则会开始执行后续的恶意行为,通过注册表中的key来解密出shellcode3,最终会创建svchost进程,并盗取主机信息。下面我们就分别介绍一下各个过程。
根据360安全团队认证,存在后门版本。在这里白帽汇提醒大家,可能还有其他未知的版本存在后门,请大家注意升级。
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
目前确认没有问题的版本
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
解决方案
1、官网网站下载更新最新版本,下载地址为 https://download.netsarang.com
2、如确认使用了带后门的版本,服务器密码等信息可能被泄露,建议用户更改所有信息,包含用户名,密码,证书,证书密码信息。
2017年8月14日安全行业大牛袁哥发表简单方法避免被安装后门方法:
http://weibo.com/ttarticle/p/show?id=2309404140771757432459
另外,白帽汇提醒大家,请勿下载使用非官方网站的软件,并注意及时更新。
白帽汇会持续关注该事件,请大家持续对白帽汇进行关注。
参考来源
[1] 360网络安全研究院
[2] 360天眼实验室
[3] 360追日团队
[4] 360网络安全响应中心
[5] http://www.netsarang.com/products/xsh_update.html
[6] http://bobao.360.cn/learning/detail/4258.html
[7] http://weibo.com/ttarticle/p/show?id=2309404140771757432459
最新评论