Xmanager和Xshell多種產品被植入後門事件分析報告
NetSarang是一家國外以提供安全連接解決方案的公司,其產品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd遠程連接管理客戶端軟體,一般應用於IT運維技術人員進行遠程運維管理。
近日,國內安全公司發現官方發布的軟體版本中,nssock2.dll模塊源碼被植入後門,阿里雲應急響應團隊獲取情報後,立即啟動應急響應分析。通過技術分析,該後門會上傳敏感數據到服務端。由於使用該軟體的開發、運維等技術人員較多,存在較高的安全風險。
一. 受影響版本
根據官方8月7日發布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
)顯示,受影響版本主要包括:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
二. 安全風險判斷
根據對被植入的後門代碼分析結果判斷,一旦用戶使用了受影響版本,將會上傳用戶、機器、網路相關信息到遠端伺服器,從而導致敏感信息泄露,存在較為嚴重的安全風險。
阿里雲安全團隊提醒用戶關注並啟動自查處理,具體處理方式參見第五章節「安全建議」部分。
三. 技術原理分析
阿里雲安全團隊與2017年8月14日 12:36分拿到後門樣本,並進行了深入的技術原理分析。
Xshell相關的用於網路通信的組件nssock2.dll被發現存在後門類型的代碼,DLL本身有廠商合法的數據簽名。
圖 1nssock2.dll文件數字簽名信息
圖 2nssock2.dll文件詳細信息
圖 3VT檢測結果信息
圖 4賽門鐵克防病毒軟體檢測結果
通過補丁對比,發現官方最新的nssock2.dll移除了以下幾個函數,所以後門代碼應該就存在於這幾個函數中
圖 5對比函數
進一步分析這幾個函數,主要功能是申請內存,解密一段」特殊代碼」(暫定為mal_code),然後再執行該代碼,這種行為通常是後門用來執行shellcode。
圖 6解密函數代碼片段
上圖中的mal_code(惡意代碼)以加密的形式存在於nssock2.dll中,如下圖:
圖 7惡意代碼片段
mal_code(惡意代碼)解密後會以線程的方式運行,通過調用GetSystemTime函數,獲取當前時間,採用DGA生成演算法,生成C2域名。
圖 8惡意代碼使用的DGA演算法
該域名whois信息:
圖 9 域名whois信息
截止到分析時間,該域名已經無法解析:
圖 10 域名解析信息
通過以上演算法,還原後的2017年全年的DGA域名為:
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com(**本次遠程C2域名**)
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com
隨後,該樣本會採集用戶、機器的相關信息。
圖 11 獲取到的敏感信息
並將採集到的敏感信息發送到指定域名。
圖 12 向遠端指定的域名發送數據
由於當前各路情報公開了C2域名,截止到分析時間,該域名解析已經失效,後續行為難以繼續進行分析。
四. 檢測方法
檢查是否使用了受影響版本範圍內的軟體;
安裝企業版防病毒軟體,更新病毒庫,使用防病毒軟體全盤查殺。
五. 安全建議
阿里雲與2017年8月14日 14:35分對外發布全網預警公告,並給出了安全解決方案:
安裝防病毒軟體,更新病毒庫對全盤進行查殺,並更換操作系統賬號密碼;
卸載受影響版本軟體;
及時升級到官方的最新版本;
目前市面上的堡壘機使用該軟體,建議檢查堡壘機內的Xshell套件是否存在此類問題( 註:阿里雲提供的堡壘機未使用該軟體,不受此類事件影響。);
提升安全意識,不要到非官方網站下載並安裝軟體。
附錄:
阿里雲官方安全公告:
https://help.aliyun.com/noticelist/articleid/20505392.html?spm=5176.789213612.n2.6.3ugAAp
態勢感知情報信息: 登錄到阿里云云盾控制台,點擊「情報」即可查閱:
圖 13態勢感知界面
阿里雲用戶幫助文檔:https://help.aliyun.com/knowledge_detail/57931.html?spm=5176.7720505392.n2.4.bhKlgM
阿里雲論壇: https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4Aae
※循環遞歸RNN,序列建模套路深(深度學習入門系列之十三)
※關於機器學習演算法 你需要了解的東西
※HBase全網最佳學習資料匯總
※運維注意啦:Xmanager和Xshell產品被植入後門
※十年磨一劍,阿里巴巴企業級數據管理平台:iDB
TAG:雲棲社區 |
※被植入惡意代碼的Emotet Downloader細節分析
※Mater Sci Eng C Mater Biol Appl:孔隙結構對3D列印多孔鈦植入物骨植入的影響
※CoreLink推出Foundation 3D列印鈦金屬植入體多孔籠式系統
※黑客篡改 Gentoo Linux GitHub 代碼,並植入惡意程序
※Event-Stream被植入可獲取比特幣的惡意代碼
※重大里程碑!美國 Additive Orthopedics 3D列印醫用植入物產品獲得針對全球骨科市場FDA許可
※衣服也能記錄行蹤!Tommy Jeans Xplore系列植入藍牙晶元!
※Materialise CEO 發文:談3D列印植入體的優勢
※疑似 iPhone SE2 真機曝光!植入 iPhone X 劉海雙鏡頭
※將設計的根植入大地 | Bloom Design綻放設計
※毒物/「異種」植入——Honda Shadow 400
※利用Apache Struts2高危漏洞入侵伺服器,植入KoiMiner挖礦木馬,新手作者也能每天賺1個門羅幣
※Medtronic推出用於脊柱植入物的TiONIC 3D列印技術
※Electron 應用容易被修改並植入後門
※青光眼新葯!首個持續釋放生物可降解植入物產品bimatoprost SR申請上市
※Science重磅:一次植入一年有效!Merck公司提供長效HIV預防藥物
※Circ:Cardiovasc Inte:經股動脈經導管主動脈瓣植入患者並發卒中的預測因子、發病率和預後
※KindEditor上傳漏洞致近百個黨政機關網站遭植入
※最前沿技術!Medtronic推出用於脊柱植入物的鈦3D列印平台「TiONIC」
※Facebook在電影海報中植入AR功能