当前位置:安全客 >> 资讯详情

【重大事件】知名终端模拟软件XSHELL多版本存在后门,或上传用户服务器账号密码!(11:30更新)

2017-08-14 19:18:26 阅读:10187次 收藏 来源: 安全客 作者:安全客

“Xshell”的图片搜索结果

简介:


Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:

http://p2.qhimg.com/t015cae807b33956f25.png


官方公告:


值得一提的是1326的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞(66666...Orz)

http://p7.qhimg.com/t01ded2d40f02875fb5.png


简要分析


360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

该域名开启了隐私保护,且只能查询到NS记录:


http://p5.qhimg.com/t010d3173dac75a0593.png

数据来源360CERT

此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。

部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com


基本流程


http://p4.qhimg.com/t0152dd25479f392690.png

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:

http://p8.qhimg.com/t0139793741ab79c549.png


每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册


2017-06    vwrcbohspufip.com

2017-07    ribotqtonut.com

2017-08    nylalobghyhirgh.com

2017-09    jkvmdmjyfcvkf.com

2017-10    bafyvoruzgjitwr.com

2017-11    xmponmzmxkxkh.com

2017-12    tczafklirkl.com


存在后门版本(已验证)


Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220


PS:国内大量下载站,目前都是上述有问题的版本


行为特征


存在后门的版本会向nylalobghyhirgh.com发起请求,一天的访问量超过800万...除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。

http://p4.qhimg.com/t012e6b56e3f7ac44bf.png

数据来源360网络安全研究院

域名whois信息,该域名开启了隐私保护。

http://p0.qhimg.com/t01a1bcebfe69ad3c53.jpg

数据来源360网络安全研究院


数据传输疑似通过DNS外带

http://p8.qhimg.com/t01c4998bb96dd0f5dc.png

数据来源360网络安全研究院

没有问题的版本


Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224


https://download.netsarang.com(primary)

https://download.netsarang.co.kr


解决办法


  1. 去官网网站下载更新最新版本

  2. 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。


NetSarang官方回复


http://p2.qhimg.com/t0192e086103ac6b7fa.png

1322版本存在后门。我们发布了1326版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。


参考来源


360网络安全研究院

360天眼实验室

360追日团队

360网络安全响应中心:https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb 

360威胁情报中心:http://mp.weixin.qq.com/s/YAtWrn6XzogOMEjQTww9RQ 


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/4263.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
你全家都是黑客 2017-08-17 15:21:29
回复 |  点赞

就是官网里面的文件被人改了。这个最初是被卡巴斯基的工作人员发现的

时尚潮人孙之獬 2017-08-15 12:33:22
回复 |  点赞

我是在官网下的

烦神嘛事 2017-08-15 12:33:22
回复 |  点赞

从上回中文putty被植入后门就不敢随意用各种shell了

King_Zevin 2017-08-15 12:33:22
回复 |  点赞

那你用什么shell啊

村雨其实没有雨 2017-08-15 12:33:22
回复 |  点赞

@把你的爪子给我  来来来

把你的爪子给我 2017-08-15 12:33:22
回复 |  点赞

回复@村雨其实没有雨:害怕

安全客官方微博 2017-08-15 12:33:22
回复 |  点赞

回复@矮穷龊-陆羽:

你全家都是黑客 2017-08-15 08:41:09
回复 |  点赞

上传的服务器账号和密码在哪呢?

学会变树的小德 2017-08-15 07:41:41
回复 |  点赞

win上面用个linux子系统也挺不错,满足一般的需求了,//@贝塔内酰胺小王子:好吧我问正版表达不精确,这个context不谈道德,就问你用patched scrt的膜个屁啊不对是默个屁//@孔雀孔雀:按这么说我们内网挂马也没事啊…我是指道德上没有优势,那与其诱奸韩红我不如去强奸范冰冰。

贝塔内酰胺小王子 2017-08-15 07:41:41
回复 |  点赞

丑//@学会变树的小德:win上面用个linux子系统也挺不错,满足一般的需求了,//@贝塔内酰胺小王子:好吧我问正版表达不精确,这个context不谈道德,就问你用patched scrt的膜个屁啊不对是默个屁//@孔雀孔雀:按这么说我们内网挂马也没事啊…我是指道德上没有优势,那与其诱奸韩红我不如去强奸范

查看更多