开发者社区> 桃子红了呐> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Xshell dns tunnel攻击

简介:
+关注继续查看

该域名还会向多个超长域名做渗出,且域名采用了 DGA 生成算法,通过 DNS 解析时渗出数据。

部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

基本流程

Xshell 相关的用于网络通信的组件 nssock2.dll 被发现存在后门类型的代码,DLL 本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:

每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册

  • 2017-06    vwrcbohspufip.com

  • 2017-07    ribotqtonut.com

  • 2017-08    nylalobghyhirgh.com

  • 2017-09    jkvmdmjyfcvkf.com

  • 2017-10    bafyvoruzgjitwr.com

  • 2017-11    xmponmzmxkxkh.com

  • 2017-12    tczafklirkl.com

存在后门版本(已验证)

  • Xshell Build 5.0.1322

  • Xshell Build 5.0.1325

  • Xmanager Enterprise 5.0 Build 1232

  • Xmanager 5.0 Build 1045

  • Xftp 5.0 Build 1218

  • Xftp 5.0 Build 1221

  • Xlpd 5.0 Build 1220

PS:国内大量下载站,目前都是上述有问题的版本。

行为特征

存在后门的版本会向 nylalobghyhirgh.com 发起请求,一天的访问量超过 800 万,除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。

数据来源:360网络安全研究院

域名 whois 信息,该域名开启了隐私保护。

数据来源:360网络安全研究院

数据传输疑似通过 DNS 外带

数据来源:360网络安全研究院

没有问题的版本

  • Xmanager Enterprise Build 1236

  • Xmanager Build 1049

  • Xshell Build 1326

  • Xftp Build 1222

  • Xlpd Build 1224

https://download.netsarang.com

解决办法

  1. 去官方网站下载最新版本。最新 Builds 下载地址:https://www.netsarang.com/download/software.html

  2. 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。

目前 Xshell 最高版本为 Xshell 5 Build 1326,该版本更新于 2017 年 8 月 5 日。

NetSarang 官方回复

1322 版本存在后门。我们发布了 1326 版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。

简介

Xshell 是一款强大、著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能,其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行 Zmodem 文件上传,简单模式,全屏模式,透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。

 

















本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/bonelee/p/7850493.html,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用JSP+Servlet+MySQL实现登录注册功能【详细代码】(中)
使用JSP+Servlet+MySQL实现登录注册功能【详细代码】(中)
52 0
使用JSP+Servlet+MySQL实现登录注册功能【详细代码】(上)
使用JSP+Servlet+MySQL实现登录注册功能【详细代码】(上)
24 0
HDFS的shell命令
文件系统(FS)的shell命令bin/hdfs dfs 对文件进行操作 说明:所有的FS的shell命令都是以url作为参数。格式: URI格式是scheme://authority/path。
841 0
shell 命令管理tomcat
我们一般在linux 上的生产环境管理tomcat 是使用tomcat 目录下面的几个sh 文件来控制的,有时候tomcat 进程会没有完全结束,然后我们再次启动很容易咋成启动二个tomcat 这里集成一个shell 命令来管理。 # description: Auto-starts tomcat Dir="/tomcat/" echo $Dir RETVAL="0
1210 0
JSP编译成Servlet(五)JDT Compiler编译器
通过JSP编译器编译后生成了对应的java文件,接下去要把Java文件编译成class文件。对于这部分完全没有必要重新造轮子,常见的优秀编译工具有Eclipse JDT Java编译器和Ant编译器。
957 0
转:Servlet的url匹配以及url-pattern详解
      Servlet是J2EE开发中常用的技术,使用方便,配置简单,老少皆宜。估计大多数朋友都是直接配置用,也没有关心过具体的细节,今天遇到一个问题,上网查了servlet的规范才发现,servlet中的url-pattern还是有一些文章在里面的,总结了一些东西,放出来供大家参考,以免遇到问题又要浪费时间。
734 0
4267
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载