“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。

NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。
近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,阿里云应急响应团队获取情报后,立即启动应急响应分析。通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 

一. 受影响版本

根据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
)显示,受影响版本主要包括:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

二. 安全风险判断

根据对被植入的后门代码分析结果判断,一旦用户使用了受影响版本,将会上传用户、机器、网络相关信息到远端服务器,从而导致敏感信息泄露,存在较为严重的安全风险。

阿里云安全团队提醒用户关注并启动自查处理,具体处理方式参见第五章节“安全建议”部分。

三. 技术原理分析

阿里云安全团队与2017年8月14日 12:36分拿到后门样本,并进行了深入的技术原理分析。

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名。
image

图 1nssock2.dll文件数字签名信息


image

图 2nssock2.dll文件详细信息


image

图 3VT检测结果信息


image

图 4赛门铁克防病毒软件检测结果

通过补丁对比,发现官方最新的nssock2.dll移除了以下几个函数,所以后门代码应该就存在于这几个函数中
image

图 5对比函数

进一步分析这几个函数,主要功能是申请内存,解密一段”特殊代码”(暂定为mal_code),然后再执行该代码,这种行为通常是后门用来执行shellcode。
image

图 6解密函数代码片段

上图中的mal_code(恶意代码)以加密的形式存在于nssock2.dll中,如下图:
image

图 7恶意代码片段

mal_code(恶意代码)解密后会以线程的方式运行,通过调用GetSystemTime函数,获取当前时间,采用DGA生成算法,生成C2域名。
image

图 8恶意代码使用的DGA算法


该域名whois信息:
image

图 9 域名whois信息


截止到分析时间,该域名已经无法解析:
image

图 10 域名解析信息


通过以上算法,还原后的2017年全年的DGA域名为:
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com( 本次远程C2域名
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com

随后,该样本会采集用户、机器的相关信息。

image

图 11 获取到的敏感信息


并将采集到的敏感信息发送到指定域名。
image

图 12 向远端指定的域名发送数据


由于当前各路情报公开了C2域名,截止到分析时间,该域名解析已经失效,后续行为难以继续进行分析。

四. 检测方法

  1. 检查是否使用了受影响版本范围内的软件;
  2. 安装企业版防病毒软件,更新病毒库,使用防病毒软件全盘查杀。

五. 安全建议

阿里云与2017年8月14日 14:35分对外发布全网预警公告,并给出了安全解决方案:

  1. 安装防病毒软件,更新病毒库对全盘进行查杀,并更换操作系统账号密码;
  2. 卸载受影响版本软件;
  3. 及时升级到官方的最新版本;
  4. 目前市面上的堡垒机使用该软件,建议检查堡垒机内的Xshell套件是否存在此类问题( 注:阿里云提供的堡垒机未使用该软件,不受此类事件影响。);
  5. 提升安全意识,不要到非官方网站下载并安装软件。

附录:

image

图 13态势感知界面

目录
相关文章
|
1月前
|
安全 网络安全 Windows
Windows应急响应-PcShare远控木马
【10月更文挑战第3天】这段文档介绍了在Windows系统中应对PcShare远控木马的紧急响应步骤。用户因在非官方平台下载软件后疑似中招而求助排查。文档详细描述了从发现异常连接和服务、定位注册表项到彻底查杀木马的过程,并强调了重启后的二次检查。最后提醒应避免非官方渠道下载软件,保持系统更新,定期备份数据,并在必要时寻求专业帮助。
63 11
|
1月前
|
安全 Unix Linux
Kali渗透测试:远程控制被控端免杀及DLL生成、注入反弹(二)
Kali渗透测试:远程控制被控端免杀及DLL生成、注入反弹(二)
|
1月前
|
监控 安全 Linux
Kali渗透测试:远程控制被控端免杀及DLL生成、注入反弹(一)
Kali渗透测试:远程控制被控端免杀及DLL生成、注入反弹(一)
|
2月前
|
开发框架 Java .NET
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
|
安全 Windows
14 向日葵远程RCE漏洞
向日葵是一款远控软件
14 向日葵远程RCE漏洞
|
安全 Windows
简单快速诊断Windows服务器是否中毒或被入侵
Windows 系统中毒或被入侵后,可能会导致系统报错、系统进程 CPU 或内存使用异常、无法远程等诸多问题。遇到这类问题后往往都比较急躁,不知如何下手,今天技术专家五贤来教大家如何诊断你的服务器是否有病毒?
|
安全 Ubuntu Linux
linux服务器木马后门rookit检测过程
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。那这个是 check rookit。我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?重点是要会看结果。也就是说我们查询出如kite之后,那我怎么知道它是一个rookit?看这里边爆出来了,lookit。也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已
239 0
linux服务器木马后门rookit检测过程
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9596 0
|
算法 网络协议 数据安全/隐私保护