它是一款終端模擬軟件,由NetSarang公司出品,支持SSH一、SSH2和Windows系統中Telnet協議。html
簡介算法
卡巴斯基實驗室在8月7日發現Xshell軟件中的nssock2.dll
文件存在惡意代碼,會建立惡意的進程,向一個域名發送DNS請求(詳見技術分析),盜取主機的信息,包括用於鏈接服務器的帳號密碼等,但據NetSarang論壇工做人員描述,保存的用戶名密碼不受影響。shell
NetSarang公司已經發布官方公告,可儘快升級至最新版本windows
影響版本緩存
Xshell Build 5.0.1322安全
Xshell Build 5.0.1325ruby
Xmanager Enterprise 5.0 Build 1232服務器
Xmanager 5.0 Build 1045運維
Xftp 5.0 Build 1218ide
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
Build 1220目前最新版本爲Xshell 5 Build 1326,官方已經修復了該問題
危害
用戶經過Xshell鏈接目標機器,黑客一旦獲取其帳號密碼,頗有可能直接對登錄服務器,執行任意操做,對用戶、企業形成不可估量的損失。
針對我的用戶,可用以下三個方法檢測是否存在後門:
(一) 查看DNS域名請求記錄信息
注:因平臺雲虛擬化限制,此步驟僅作了解
可使用以下命令查找是否請求了服務器:
ipconfig/displaydns //顯示DNS客戶解析器緩存
如圖,在紅框若是出現nylalobghyhirgh.com
,ribotqtonut.com
字樣的,就說明Xshell版本存在後門。
經過DGA算法,每月經過特定算法生成一個新的控制域名,目前部分已經被做者註冊。
ribotqtonut.com(2017年7月) nylalobghyhirgh.com(2017年8月) jkvmdmjyfcvkf.com(2017年9月) bafyvoruzgjitwr.com(2017年10月) xmponmzmxkxkh.com(2017年11月) tczafklirkl.com(2017年12月) vmvahedczyrml.com(2018年1月) ryfmzcpuxyf.com(2018年2月) notyraxqrctmnir.com(2018年3月) fadojcfipgh.com(2018年4月) ...
這是由於nssock2.dll
中的惡意代碼會對域名發起一個請求,而且該域名還會向多個超長域名作滲出,域名採用了DGA生成算法,經過DNS解析時,向攻擊者的服務器傳輸敏感數據,達到盜取用戶Xshell數據的目的。
DGA(域名生成算法)
是一種利用隨機字符來生成域名,從而用來逃避域名黑名單檢測的技術手段。
攻擊者7月使用的域名ribotqtonut.com
存在多個子域名,且曾於7月24日至26日將該域名的NS解析服務地址分別指向:
ns1. ribotqtonut.com
ns2.ribotqtonut.com
ns3.ribotqtonut.com
ns5.ribotqtonut.com
這些子域名分別指向209.105.242.187
和108.60.212.78
兩個IP地址
所以只要記錄中出現了這些域名或IP,帳號密碼就極有可能已被攻擊者盜取。
(二)查看Xshell版本號
打開軟件,點擊幫助
菜單欄下的關於
。
能夠看到版本號,若是在影響版本範圍內,則說明有後門
(三)查看DLL文件版本號
查看目錄:C:\Program Files\NetSarang\Xshell 5\nssock.dll
文件,若是其版本爲5.0.0.26
,則說明存在後門
(四)校驗DLL文件MD5值
雙擊打開桌面的MD5校驗exe程序,直接將須要校驗的文件(C:\Program Files\NetSarang\Xshell 5\nssock.dll
)拖拽進去便可,如圖:
(五)使用腳本應急修復
用戶可以使用以下命令保存在bat文件,經過雙擊執行,會將以下信息寫入到Hosts文件(windows\system32\drivers\etc\hosts
)中,可將攻擊者的域名解析到本地,從而達到屏蔽這些域名的目的。
(注:實驗環境中已將腳本添加至Xshell後門修復我的版.bat中)
@echo off echo. :backup_start echo 正在向hosts文件寫入數據…… cd \windows\system32\drivers\etc echo 127.0.0.0 *.ribotqtonut.com >> hosts echo 127.0.0.0 *.nylalobghyhirgh.com >> hosts echo 127.0.0.0 *.jkvmdmjyfcvkf.com >> hosts echo 127.0.0.0 *.bafyvoruzgjitwr.com >> hosts echo 127.0.0.0 *.xmponmzmxkxkh.com >> hosts echo 127.0.0.0 *.tczafklirkl.com >> hosts echo 127.0.0.0 *.vmvahedczyrml.com >> hosts echo 127.0.0.0 *.ryfmzcpuxyf.com >> hosts echo 127.0.0.0 *.notyraxqrctmnir.com >> hosts echo 127.0.0.0 *.fadojcfipgh.com >> hosts echo 127.0.0.0 *.notped.com >> hosts echo 127.0.0.0 *.dnsgogle.com >> hosts echo 完成! echo 按任意鍵退出 pause
(六)升級軟件版本
用戶也能夠將軟件升級至最新的版本,首先卸載當前版本軟件,並使用安全軟件進行全盤查殺,下載最新版本,以後修改原來的密碼便可。
官方已經發布了無後門的新版本,在實際環境中訪問以下地址下載:
https://www.netsarang.com/download/main.html
下載完成以後務必對nssock.dll
文件進行MD5校驗,確保與官方MD5值一致:
MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249
注:因虛擬化限制,沒法在平臺模擬企業環境,此步驟請在實際環境中自測
該軟件會收集用戶信息,經過DNS協議傳走。能夠經過該後門每月的DGA算法,能夠推算出其後幾個月的用於信息傳輸的惡意域名:
存在後門的XShell
等程序會在啓動時發起大量請求DNS域名請求,並根據使用者系統時間生成不一樣的請求連接,其中 7月的相關域名爲ribotqtonut.com
,而8月的相關域名爲nylalobghyhirgh.com
。
(一)行爲管理限制惡意DNS請求
運維人員可在路由上對出去的流量進行行爲控制,將上述域名屏蔽便可。
127.0.0.0 *.ribotqtonut.com 127.0.0.0 *.nylalobghyhirgh.com 127.0.0.0 *.jkvmdmjyfcvkf.com 127.0.0.0 *.bafyvoruzgjitwr.com 127.0.0.0 *.xmponmzmxkxkh.com 127.0.0.0 *.tczafklirkl.com 127.0.0.0 *.vmvahedczyrml.com 127.0.0.0 *.ryfmzcpuxyf.com 127.0.0.0 *.notyraxqrctmnir.com 127.0.0.0 *.fadojcfipgh.com 127.0.0.0 *.notped.com 127.0.0.0 *.dnsgogle.com
(二) 升級軟件版本
官方已經發布了無後門的新版本,訪問以下地址下載:
https://www.netsarang.com/download/main.html
下載完成以後務必對MD5進行校驗,確保與官方MD5值一致:
MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249
企業中若存在域環境,運維在發送安全預警後,可經過域控批量升級主機軟件版本。
本實驗分別給我的用戶與企業用戶提供了緊急響應的方案,使用上述方法進行修復後的操做系統,基本能夠避免這次事件帶來的損失。