欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

远程终端管理工具Xshell被植入后门代码事件分析报告

来源:本站整理 作者:佚名 时间:2017-08-24 TAG: 我要投稿

文档信息
文档编号
360Ti-2017-0005
关键字
Xshell backdoor
发布日期
2017-08-15
更新日期
2017-08-18
TLP
WHITE
分析团队
360威胁情报中心、360安全监测与响应中心
事件概要
攻击目标
使用Xshell远程管理工具进行系统管理的用户
攻击目的
收集系统相关的信息,可能通过专用插件执行远程控制类的功能
主要风险
系统相关的敏感信息泄露,相关的基础设施被非授权控制
攻击入口
下载安装执行某个官方版本的Xshell类软件
使用漏洞

通信控制
通过DNS隧道进行数据通信和控制
抗检测能力
无文件落地、插件工结构、繁复的二进制代码加密变换以抵抗分析
受影响应用
Xshell 5.0 Build 1322Xshell 5.0 Build 1325Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045Xftp 5.0 Build 1218Xlpd 5.0 Build 1220
已知影响
目前评估国内受影响用户在十万级别,已知部分知名互联网公司中招
分析摘要:· 战术· 技术·  过程
1. Xshell的开发厂商NetSarang极可能受到渗透,软件的组件nssock2.dll被插件后门代码,相应的软件包在官网被提供下载使用,所发布出来的程序有厂商的合法数字签名。2. 后门版本的Xshell软件被执行以后,内置的后门Shellcode得到执行,通过DNS隧道向外部服务器报告主机信息,并激活下一阶段的恶意代码。 3. 后门代码的C&C通信使用了DGA域名,每月生成一个新的。4. 后门恶意代码采用了插件式的结构,无文件落地方式执行,配置信息注册表存储,可以执行攻击者指定的任意功能,完成以后不留文件痕迹。恶意代码内置了多种抵抗分析的机制,显示了非常高端的技术能力。  
事件简述
近日,非常流行的远程终端Xshell被发现被植入了后门代码,用户如果使用了特洛伊化的Xshell工具版本会导致本机相关的敏感信息被泄露到攻击者所控制的机器甚至被远程控制执行更多恶意操作。
Xshell特别是Build 1322在国内的使用面很大,敏感信息的泄露及可能的远程控制导致巨大的安全风险,我们强烈建议用户检查自己所使用的Xshell版本,如发现,建议采取必要的补救措施。
事件时间线
2017年8月7日
流行远程管理工具Xshell系列软件的厂商NetSarang发布了一个更新通告,声称在卡巴斯基的配合下发现并解决了一个在7月18日的发布版本的安全问题,提醒用户升级软件,其中没有提及任何技术细节和问题的实质,而且声称没有发现漏洞被利用。
2017年8月14日
360威胁情报中心分析了Xshell Build 1322版本(此版本在国内被大量分发使用),发现并确认其中的nssock2.dll组件存在后门代码,恶意代码会收集主机信息往DGA的域名发送并存在其他更多的恶意功能代码。360威胁情报中心发布了初始的分析报告,并对后续更复杂的恶意代码做进一步的挖掘分析,之后其他安全厂商也陆续确认了类似的发现。
2017年8月15日
卡巴斯基发布了相关的事件说明及技术分析,与360威胁情报中心的分析完全一致,事件可以比较明确地认为是基于源码层次的恶意代码植入。非正常的网络行为导致相关的恶意代码被卡巴斯基发现并报告软件厂商,在8月7日NetSarang发布报告时事实上已经出现了恶意代码在用户处启动执行的情况。同日NetSarang更新了8月7日的公告,加入了卡巴斯基的事件分析链接,标记删除了没有发现问题被利用的说法。
影响面和危害分析
目前已经确认使用了特洛伊化的Xshell的用户机器一旦启动程序,主机相关基本信息(主机名、域名、用户名)会被发送出去。同时,如果外部的C&C服务器处于活动状态,受影响系统则可能收到激活数据包启动下一阶段的恶意代码,这些恶意代码为插件式架构,可能执行攻击者指定任意恶意功能,包括但不仅限于远程持久化控制、窃取更多敏感信息。
根据360网络研究院的C&C域名相关的访问数量评估,国内受影响的用户或机器数量在十万级别,同时,数据显示一些知名的互联网公司有大量用户受到攻击,泄露主机相关的信息。
解决方案
检查目前所使用的Xshell版本是否为受影响版本,如果组织保存有网络访问日志或进行实时的DNS访问监控,检查所在网络是否存在对于附录节相关IOC域名的解析记录,如发现,则有内网机器在使用存在后门的Xshell版本。
目前厂商NetSarang已经在Xshell Build 1326及以后的版本中处理了这个问题,请升级到最新版本,修改相关系统的用户名口令。厂商修复过的版本如下:
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
软件下载地址:https://www.netsarang.com/download/software.html
技术分析
基本执行流程
Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:

360威胁情报中心发现其存在加载执行Shellcode的功能:

我们将这段代码命名为loader_code1, 其主要执行加载器的功能,会再解出一段新的代码(module_Activation),然后动态加载需要的Windows API和重定位,跳转过去。
经过对进程执行的整体分析观察,对大致的执行流程还原如下图所示:

基本插件模块
Module_Activation
module_Activation会开启一个线程,然后创建注册表项:HKEY_CURRENT_USER\SOFTWARE\-[0-9]+(后面的数字串通过磁盘信息xor  0xD592FC92生成),然后通过RegQueryValueExA查询该注册表项下”Data ”键值来执行不同的功能流程。

[1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载