Xshell存在後門

Xshell

它是一款終端模擬軟件,由NetSarang公司出品,支持SSH一、SSH2和Windows系統中Telnet協議。html

簡介算法

卡巴斯基實驗室在8月7日發現Xshell軟件中的nssock2.dll文件存在惡意代碼,會建立惡意的進程,向一個域名發送DNS請求(詳見技術分析),盜取主機的信息,包括用於鏈接服務器的帳號密碼等,但據NetSarang論壇工做人員描述,保存的用戶名密碼不受影響。shell

NetSarang公司已經發布官方公告,可儘快升級至最新版本windows

1

影響版本緩存

Xshell Build 5.0.1322安全

Xshell Build 5.0.1325ruby

Xmanager Enterprise 5.0 Build 1232服務器

Xmanager 5.0 Build 1045運維

Xftp 5.0 Build 1218ide

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

Build 1220目前最新版本爲Xshell 5 Build 1326,官方已經修復了該問題

危害

用戶經過Xshell鏈接目標機器,黑客一旦獲取其帳號密碼,頗有可能直接對登錄服務器,執行任意操做,對用戶、企業形成不可估量的損失。

 

步驟1:我的應急響應與修復

針對我的用戶,可用以下三個方法檢測是否存在後門:

(一) 查看DNS域名請求記錄信息

注:因平臺雲虛擬化限制,此步驟僅作了解

可使用以下命令查找是否請求了服務器:

ipconfig/displaydns //顯示DNS客戶解析器緩存 

如圖,在紅框若是出現nylalobghyhirgh.comribotqtonut.com 字樣的,就說明Xshell版本存在後門。

5

經過DGA算法,每月經過特定算法生成一個新的控制域名,目前部分已經被做者註冊。

ribotqtonut.com(2017年7月)
nylalobghyhirgh.com(2017年8月)
jkvmdmjyfcvkf.com(2017年9月)
bafyvoruzgjitwr.com(2017年10月)
xmponmzmxkxkh.com(2017年11月)
tczafklirkl.com(2017年12月)
vmvahedczyrml.com(2018年1月)
ryfmzcpuxyf.com(2018年2月)
notyraxqrctmnir.com(2018年3月)
fadojcfipgh.com(2018年4月)
...
這些奇怪的域名是什麼?爲何記錄中出現了上述域名,就存在後門?

這是由於nssock2.dll中的惡意代碼會對域名發起一個請求,而且該域名還會向多個超長域名作滲出,域名採用了DGA生成算法,經過DNS解析時,向攻擊者的服務器傳輸敏感數據,達到盜取用戶Xshell數據的目的。

DGA(域名生成算法)是一種利用隨機字符來生成域名,從而用來逃避域名黑名單檢測的技術手段。

攻擊者7月使用的域名ribotqtonut.com存在多個子域名,且曾於7月24日至26日將該域名的NS解析服務地址分別指向:

  • ns1. ribotqtonut.com

  • ns2.ribotqtonut.com

  • ns3.ribotqtonut.com

  • ns5.ribotqtonut.com

這些子域名分別指向209.105.242.187108.60.212.78兩個IP地址

所以只要記錄中出現了這些域名或IP,帳號密碼就極有可能已被攻擊者盜取。

(二)查看Xshell版本號

打開軟件,點擊幫助菜單欄下的關於 。

3

能夠看到版本號,若是在影響版本範圍內,則說明有後門

(三)查看DLL文件版本號

查看目錄:C:\Program Files\NetSarang\Xshell 5\nssock.dll文件,若是其版本爲5.0.0.26 ,則說明存在後門

2


(四)校驗DLL文件MD5值

雙擊打開桌面的MD5校驗exe程序,直接將須要校驗的文件(C:\Program Files\NetSarang\Xshell 5\nssock.dll)拖拽進去便可,如圖:

6

(五)使用腳本應急修復

用戶可以使用以下命令保存在bat文件,經過雙擊執行,會將以下信息寫入到Hosts文件(windows\system32\drivers\etc\hosts)中,可將攻擊者的域名解析到本地,從而達到屏蔽這些域名的目的。

(注:實驗環境中已將腳本添加至Xshell後門修復我的版.bat中)

@echo off echo. :backup_start echo 正在向hosts文件寫入數據…… cd \windows\system32\drivers\etc echo 127.0.0.0 *.ribotqtonut.com >> hosts echo 127.0.0.0 *.nylalobghyhirgh.com >> hosts echo 127.0.0.0 *.jkvmdmjyfcvkf.com >> hosts echo 127.0.0.0 *.bafyvoruzgjitwr.com >> hosts echo 127.0.0.0 *.xmponmzmxkxkh.com >> hosts echo 127.0.0.0 *.tczafklirkl.com >> hosts echo 127.0.0.0 *.vmvahedczyrml.com >> hosts echo 127.0.0.0 *.ryfmzcpuxyf.com >> hosts echo 127.0.0.0 *.notyraxqrctmnir.com >> hosts echo 127.0.0.0 *.fadojcfipgh.com >> hosts echo 127.0.0.0 *.notped.com >> hosts echo 127.0.0.0 *.dnsgogle.com >> hosts echo 完成! echo 按任意鍵退出 pause 

(六)升級軟件版本

用戶也能夠將軟件升級至最新的版本,首先卸載當前版本軟件,並使用安全軟件進行全盤查殺,下載最新版本,以後修改原來的密碼便可。

官方已經發布了無後門的新版本,在實際環境中訪問以下地址下載:

https://www.netsarang.com/download/main.html 

下載完成以後務必對nssock.dll文件進行MD5校驗,確保與官方MD5值一致:

MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249 

步驟2:企業應急響應

注:因虛擬化限制,沒法在平臺模擬企業環境,此步驟請在實際環境中自測

該軟件會收集用戶信息,經過DNS協議傳走。能夠經過該後門每月的DGA算法,能夠推算出其後幾個月的用於信息傳輸的惡意域名:

存在後門的XShell等程序會在啓動時發起大量請求DNS域名請求,並根據使用者系統時間生成不一樣的請求連接,其中 7月的相關域名爲ribotqtonut.com,而8月的相關域名爲nylalobghyhirgh.com

(一)行爲管理限制惡意DNS請求

運維人員可在路由上對出去的流量進行行爲控制,將上述域名屏蔽便可。

127.0.0.0    *.ribotqtonut.com
127.0.0.0    *.nylalobghyhirgh.com
127.0.0.0    *.jkvmdmjyfcvkf.com
127.0.0.0    *.bafyvoruzgjitwr.com
127.0.0.0    *.xmponmzmxkxkh.com
127.0.0.0    *.tczafklirkl.com
127.0.0.0    *.vmvahedczyrml.com
127.0.0.0    *.ryfmzcpuxyf.com
127.0.0.0    *.notyraxqrctmnir.com
127.0.0.0    *.fadojcfipgh.com
127.0.0.0    *.notped.com
127.0.0.0    *.dnsgogle.com

(二) 升級軟件版本

官方已經發布了無後門的新版本,訪問以下地址下載:

https://www.netsarang.com/download/main.html 

下載完成以後務必對MD5進行校驗,確保與官方MD5值一致:

MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249 

企業中若存在域環境,運維在發送安全預警後,可經過域控批量升級主機軟件版本。

總結

本實驗分別給我的用戶與企業用戶提供了緊急響應的方案,使用上述方法進行修復後的操做系統,基本能夠避免這次事件帶來的損失。

相關文章
相關標籤/搜索