Xshell 被植入後門代碼如何補救?專家告訴你這樣作

簡述:html

近日,很是流行的遠程終端Xshell被發現被植入了後門代碼,用戶若是使用了特洛伊化的Xshell工具版本可能致使所敏感信息被泄露到***者所控制的機器。 web

Xshell特別是Build 1322在國內的使用面很大,敏感信息的泄露可能致使巨大的安全風險,咱們強烈建議用戶檢查本身所使用的Xshell版本,如發現,建議採起必要的補救措施。shell


受影響系統

  • Xshell 5.0 Build 1322xcode

  • Xshell 5.0 Build 1325安全

  • Xmanager Enterprise 5.0 Build 1232服務器

  • Xmanager 5.0 Build 1045網絡

  • Xftp 5.0 Build 1218app

  • Xlpd 5.0 Build 1220運維

技術細節

Xshell相關的用於網絡通訊的組件nssock2.dll被發現存在後門類型的代碼,DLL自己有廠商合法的數據簽名,但已經被多家安全廠商標記爲惡意:


bef4400cbc05de35bf684369d9db10ed.gif

360威脅情報中心發現其存在加載執行Shellcode的功能:
ide


2cc4494c5fa002d3af7e6dd530f8311c.webp

調試發現Shellcode會收集主機信息,生成一個月一個的DGA域名並嘗試作解析,其中8月的域名爲nylalobghyhirgh.com,360威脅情報中心顯示此域名爲隱私保護狀態:

e5cf39e368d6f9c5772e2f3ac3762334.jpeg

此域名目前已觀察到7月23日註冊,8月3日達到解析量的頂峯,從360網絡研究院的數據來看解析量很是巨大,達到800萬。

604c4a531baff5ad4b5135dbca5c0627.png

全部的請求類型爲NS記錄,也就是說域名極有可能被用來析出數據而不是用於C&C控制。

影響

使用了***化Xshell的用戶很可能致使本機或相關所管理遠程系統的敏感信息泄露。

解決方案

檢查目前所使用的Xshell版本是否爲受影響版本,若是組織保存有網絡訪問日誌,檢查所在網絡是否存在對於下節IOC域名的解析記錄,如發現,則有內網機器在使用存在後門的Xshell版本。

目前廠商已經在Xshell Build 1326及之後的版本中處理了這個問題,請升級到最新版本,修改相關係統的用戶名口令。

升級地址:https://www.netsarang.com/download/software.html


IOC

域名

說明

vwrcbohspufip.com

6DGA域名

ribotqtonut.com

7DGA域名

nylalobghyhirgh.com

8DGA域名

jkvmdmjyfcvkf.com

9DGA域名

bafyvoruzgjitwr.com

10DGA域名

文件HASH


97363d50a279492fda14cbab53429e75

文件名nssock.dll

攜程網安全運維總監雷兵建議:

以前也發生過 putty 中文版被人植入後門的事情,根據咱們以往的經驗,首先當即查版本, 有問題趕忙處理,刪除有後門版本,及時改服務器密碼。

被管服務器最好可以有源地址限制, 有條件的上雙因素認證,運維堡壘機,或證書驗證等其餘措施,避免由於用戶名密碼泄露就形成服務器失守。

用戶不要在非官網下載工具軟件,要有專人獲取安全漏洞信息並及時相應 。

還能夠對服務器登陸日誌進行自動化異常檢測,以及主機 hids 及時發現異常。


我國著名安全專家範淵從xcoder到xshell事件能夠看出,***者已經不知足直接經過漏洞控制你了,而是經過植入後門到你使用的基礎軟件來控制你的一切。


參考連接https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

相關文章
相關標籤/搜索