重大事件,知名终端模拟软件 Xshell 多版本存在后门,或上传用户服务器账号密码。
日前,360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中,发布的 nssock2.dll 模块中存在恶意代码,在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在:
官方公告
值得一提的是 1326 的升级提示很有意思: 提示修复了 nssock2.dll 的一个远程漏洞。
简要分析
360CERT 通过行为分析发现后门会对一个箱子域名 “nylalobghyhirgh.com” 发起请求。
该域名开启了隐私保护,且只能查询到 NS 记录:
数据来源 360CERT
此外,该域名还会向多个超长域名做渗出,且域名采用了 DGA 生成算法,通过 DNS 解析时渗出数据。
部分生成域名如下:
sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册
- 2017-06 vwrcbohspufip.com
- 2017-07 ribotqtonut.com
- 2017-08 nylalobghyhirgh.com
- 2017-09 jkvmdmjyfcvkf.com
- 2017-10 bafyvoruzgjitwr.com
- 2017-11 xmponmzmxkxkh.com
- 2017-12 tczafklirkl.com
存在后门版本(已验证)
- Xshell Build 5.0.1322
- Xshell Build 5.0.1325
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xftp 5.0 Build 1218
- Xftp 5.0 Build 1221
- Xlpd 5.0 Build 1220
PS:国内大量下载站,目前都是上述有问题的版本。
行为特征
存在后门的版本会向 nylalobghyhirgh.com 发起请求,一天的访问量超过 800 万,除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。
数据来源:360 网络安全研究院
域名 whois 信息,该域名开启了隐私保护。
数据来源:360 网络安全研究院
数据传输疑似通过 DNS 外带
数据来源:360 网络安全研究院
没有问题的版本
- Xmanager Enterprise Build 1236
- Xmanager Build 1049
- Xshell Build 1326
- Xftp Build 1222
- Xlpd Build 1224
解决办法
- 去官方网站下载最新版本。最新 Builds 下载地址:http://ift.tt/2wpyku2
- 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。
目前 Xshell 最高版本为 Xshell 5 Build 1326,该版本更新于 2017 年 8 月 5 日。
简介
Xshell 是一款强大、著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能,其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。
Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行 Zmodem 文件上传,简单模式,全屏模式,透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。
参考来源
- 360 网络安全研究院
- 360 天眼实验室
- 360 追日团队
- 360 网络安全响应中心:http://ift.tt/2vUt0Bg
来自: 安全客
转自 http://ift.tt/2vBPy7f
The post Xshell 多版本存在后门,或上传用户服务器账号密码 appeared first on Linuxeden开源社区.
http://ift.tt/2vUxBDF
没有评论:
发表评论