`
yuun
  • 浏览: 58539 次
文章分类
社区版块
存档分类
最新评论

“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

 
阅读更多

摘要: NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。

NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。
近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,阿里云应急响应团队获取情报后,立即启动应急响应分析。通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 

一. 受影响版本

根据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
)显示,受影响版本主要包括:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

二. 安全风险判断

根据对被植入的后门代码分析结果判断,一旦用户使用了受影响版本,将会上传用户、机器、网络相关信息到远端服务器,从而导致敏感信息泄露,存在较为严重的安全风险。

阿里云安全团队提醒用户关注并启动自查处理,具体处理方式参见第五章节“安全建议”部分。

三. 技术原理分析

阿里云安全团队与2017年8月14日 12:36分拿到后门样本,并进行了深入的技术原理分析。

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名。
image

图 1nssock2.dll文件数字签名信息

image

图 2nssock2.dll文件详细信息

image

图 3VT检测结果信息

image

图 4赛门铁克防病毒软件检测结果

通过补丁对比,发现官方最新的nssock2.dll移除了以下几个函数,所以后门代码应该就存在于这几个函数中
image

图 5对比函数

进一步分析这几个函数,主要功能是申请内存,解密一段”特殊代码”(暂定为mal_code),然后再执行该代码,这种行为通常是后门用来执行shellcode。
image

图 6解密函数代码片段

上图中的mal_code(恶意代码)以加密的形式存在于nssock2.dll中,如下图:
image

图 7恶意代码片段

mal_code(恶意代码)解密后会以线程的方式运行,通过调用GetSystemTime函数,获取当前时间,采用DGA生成算法,生成C2域名。
image

图 8恶意代码使用的DGA算法

该域名whois信息:
image

图 9 域名whois信息

截止到分析时间,该域名已经无法解析:
image

图 10 域名解析信息

通过以上算法,还原后的2017年全年的DGA域名为:
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com(**本次远程C2域名**)
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com

随后,该样本会采集用户、机器的相关信息。

image

图 11 获取到的敏感信息

并将采集到的敏感信息发送到指定域名。
image

图 12 向远端指定的域名发送数据

由于当前各路情报公开了C2域名,截止到分析时间,该域名解析已经失效,后续行为难以继续进行分析。

四. 检测方法

  1. 检查是否使用了受影响版本范围内的软件;
  2. 安装企业版防病毒软件,更新病毒库,使用防病毒软件全盘查杀。

五. 安全建议

阿里云与2017年8月14日 14:35分对外发布全网预警公告,并给出了安全解决方案:

  1. 安装防病毒软件,更新病毒库对全盘进行查杀,并更换操作系统账号密码;
  2. 卸载受影响版本软件;
  3. 及时升级到官方的最新版本;
  4. 目前市面上的堡垒机使用该软件,建议检查堡垒机内的Xshell套件是否存在此类问题( 注:阿里云提供的堡垒机未使用该软件,不受此类事件影响。);
  5. 提升安全意识,不要到非官方网站下载并安装软件。

附录:

图 13态势感知界面

分享到:
评论

相关推荐

    NetSarang Xmanager Enterprise 6 Build 0175 中文多语免费版.zip

    它是一个一站式解决方案,这个软件包含有以下一些产品:Xmanager 3D(OpenGL),Xshell,Xftp 和 Xlpd。 Xmanager PCX Server Xmanager 是一个运行于 MS Windows 平台上的高性能的X window服务器。你可以在你的本地PC...

    NetSarang.Xmanager.Enterprise.5.Build.1236_Soft98.iR.rar

    《NetSarang Xmanager Enterprise 5:全能的远程服务器管理工具》 NetSarang Xmanager Enterprise 5是一款强大的远程服务器管理软件,由NetSarang公司开发,旨在为IT专业人员提供全面、安全且高效的远程访问解决...

    Xmanager Power Suite 7 压缩包,包括Xshell,Xftp,Xlpd。

    Xmanager Power Suite 7是一款功能强大、体积小巧的远程管理软件,可以让用户Windows环境下浏览远端X窗口系统的工具,方便用户在windows平台下连接远程服务器进行管理操作,支持一键连接到unix、linux服务器系统进行...

    Xshell、xftp7、xmanager7包含安装使用教程

    Xshell7、Xftp7、Xmanager7均为NetSarang公司的Xmanager Power Suite 7组件,专为Windows用户设计,实现高效安全的远程管理与文件传输。 Xshell7 是一款高级终端模拟器,用于通过SSH、TELNET等协议安全远程连接...

    xshell7_xmanager7_xftp7.zip

    Xshell 7、Xmanager 7和Xftp 7是NetSarang公司开发的一系列产品,它们在IT行业中被广泛用于Windows用户与Linux服务器之间的交互。 **Xshell 7** 是一款功能丰富的终端模拟器,它支持多种协议如SSH、TELNET、RLOGIN...

    xshell5.0版本无后门

    【XShell 5.0版本】是知名网络终端模拟器软件NetSarang开发的一款强大且功能丰富的SSH客户端。这款工具被广泛应用于Linux/Unix服务器的远程管理,它提供了安全的远程连接,允许用户通过图形界面进行命令行操作。...

    远程连接.NetSarang.Xshell.Plus.6.0.0019.派睿克简体中文便携版.7z

    远程连接.NetSarang.Xshell.Plus.6.0.0019.派睿克简体中文便携版,Linux远程工具。

    NetSarang_Xmanager_Enterprise_5_Build_1236

    Xmanager是在Windows环境下使用的强大而好用的X Server 服务器软件。用户通过Xmanager可以把远程的UNIX/Linux桌面无缝地导入到自己的Windows PC。 一直在用,很不错的软件,我用这个软件管理AIX服务器很方便。

    Xmanager Power Suite 8

    Xmanager 8是一款由Netsarang公司推出的集成Xmanager(X服务器)、Xshell(SSH客户端)、Xftp(SFTP/FTP客户端)和Xlpd(作业服务器)于一体的服务器运维工具套件 1 。它是一款功能强大的远程访问监控软件,支持SSH...

    NetSarang Xshell 7

    1. **多协议支持**:Xshell 7支持多种网络协议,包括SSH(Secure Shell)、Telnet、RDP(Remote Desktop Protocol)和Serial,满足了不同场景下的连接需求。SSH协议提供了安全的数据传输,确保了在网络中的通信不被...

    超好用的putty,xshell听说有后门

    一些用户担心xShell可能包含后门,允许其开发者NetSarang或未经授权的第三方获取用户数据。尽管NetSarang公司已经否认这些指控,并修复了可能存在的问题,但这依然使得一些用户转向了像PuTTY这样更注重隐私和安全的...

    NetSarang-7.0.0054.zip

    Xshell-7、Xftp-7、pj小工具?

    【一手资源】netsarang【XShell6p】官方免费个人最新版,无需注册激活

    【XShell6p】是Netsarang公司推出的一款强大的终端模拟器,主要应用于Linux、Unix及各种网络设备的管理。这款软件以其丰富的功能、友好的用户界面和高度的安全性在IT行业内广受好评。标题提到的是官方免费个人最新版...

    xshell和xftp安装包

    8. **多平台兼容**:Xshell不仅支持Windows操作系统,还提供了适用于Mac和Linux版本的产品。 #### Xftp简介 Xftp是NetSarang公司开发的一款快速、可靠的FTP/FTPS/SFTP客户端软件,用于在本地与远程服务器之间传输...

    (xshell6注册机)NetSarang_AIO_8in1_Keygen_v1.5_DFoX.exe

    xshell6注册机

    netsarang_setup

    Xmanager Enterprise是NetSarang的另一款旗舰产品,它不仅包含了Xshell的功能,还集成了Xftp(文件传输工具)和Xmanager(图形界面管理工具),为用户提供了一站式的远程访问解决方案。版本号3.0.0244表示这是该软件...

    xshell加xftp免费版

    Xmanager是NetSarang公司的另一款产品,它是一个窗口管理器,允许用户在一个单一的窗口中控制多个X应用程序。它可以与Xshell和Xftp配合使用,提供一个统一的工作环境,特别适合需要同时处理多个远程桌面的用户。 **...

    secureCRT导入到Xshell

    不过软件有点老了,导入的会话路径和xshell默认的会话路径不一致,导致导入后,xshell没有导入的会话信息 sessionimporter导入的会话路径为:"C:\Users\<USERNAME>\AppData\Roaming\NetSarang\Xshell\Sessions" ...

    Xshell_Xftp_Portable

    首先,Xshell作为一款强大的终端模拟器,它支持多种网络协议,包括SSH1/2、TELNET、RLOGIN、 SERIAL和TTY,使得用户能够轻松连接到远程服务器进行命令行操作。通过提供丰富的定制选项,如字体、颜色主题和快捷键设置...

    xftp和xshell6.0个人免费版

    《Xftp和Xshell6.0个人免费版详解》 在IT行业中,远程操作和文件传输是日常工作中不可或缺的一部分。Xftp和Xshell是两款深受用户喜爱的工具,特别是对于那些需要频繁进行Linux服务器管理的用户。这两款软件由...

Global site tag (gtag.js) - Google Analytics