重大事件,知名終端模擬軟體 Xshell 多版本存在後門,或上傳用戶伺服器帳號密碼。
日前,360CERT 獲悉某安全公司發現 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等產品中,發布的 nssock2.dll 模塊中存在惡意代碼,在 Xshell 5.0.1322 和 Xshell 5.0.1325 兩個版本中均已確認惡意代碼存在:
官方公告
值得一提的是 1326 的升級提示很有意思: 提示修復了 nssock2.dll 的一個遠程漏洞。
簡要分析
360CERT 通過行為分析發現後門會對一個箱子域名「nylalobghyhirgh.com」發起請求。
該域名開啟了隱私保護,且只能查詢到 NS 記錄:
數據來源360CERT
此外,該域名還會向多個超長域名做滲出,且域名採用了 DGA 生成算法,通過 DNS 解析時滲出數據。
部分生成域名如下:
sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com
基本流程
Xshell 相關的用於網絡通信的組件 nssock2.dll 被發現存在後門類型的代碼,DLL 本身有廠商合法的數字籤名,但已經被多家安全廠商標記為惡意:
每個月通過特定算法生成一個新的控制域名,目前部分已經被作者註冊
2017-06 vwrcbohspufip.com
2017-07 ribotqtonut.com
2017-08 nylalobghyhirgh.com
2017-09 jkvmdmjyfcvkf.com
2017-10 bafyvoruzgjitwr.com
2017-11 xmponmzmxkxkh.com
2017-12 tczafklirkl.com
存在後門版本(已驗證)
PS:國內大量下載站,目前都是上述有問題的版本。
行為特徵
存在後門的版本會向 nylalobghyhirgh.com 發起請求,一天的訪問量超過 800 萬,除了官方版本強制更新,恐怕也找不到其他途徑有這麼多的量了。
數據來源:360網絡安全研究院
域名 whois 信息,該域名開啟了隱私保護。
數據來源:360網絡安全研究院
數據傳輸疑似通過 DNS 外帶
數據來源:360網絡安全研究院
沒有問題的版本
https://download.netsarang.com
解決辦法
去官方網站下載最新版本。最新 Builds 下載地址:https://www.netsarang.com/download/software.html
如果之前是從有問題版本升級到最新的,有可能信息已經洩露,保險起見建議修改密碼,目前僅能證明該程序獲取了(用戶名、主機名、網絡信息等),其他信息還在進一步核實。
目前 Xshell 最高版本為 Xshell 5 Build 1326,該版本更新於 2017 年 8 月 5 日。
NetSarang 官方回復
1322 版本存在後門。我們發布了 1326 版本修復了這個後門問題。請立即更新避免繼續受到該問題的影響。
簡介
Xshell 是一款強大、著名的終端模擬軟體,被廣泛的用於伺服器運維和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供業界領先的性能和強大功能,在免費終端模擬軟體中有著不可替代的地位。企業版中擁有更專業的功能,其中包括:標籤式的環境,動態埠轉發,自定義鍵映射,用戶定義按鈕,VB 腳本和用於顯示 2 byte 字符和支持國際語言的 UNICODE 終端。
Xshell 提供許多用戶友好的,在其他終端終端模擬軟體沒有的功能。這些功能包括:通過拖放文件進行 Zmodem 文件上傳,簡單模式,全屏模式,透明度選項和自定義布局模式下載 Zmodem 文件。使用 Xshell 執行終端任務節省時間和精力。
參考來源
來自:安全客