欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

XShellGhost事件回忆专题技术分析指南

来源:本站整理 作者:佚名 时间:2017-09-15 TAG: 我要投稿

8月份,NetSarang公司(NetSarang Computer, Inc. 是一家致力于环球网络安全衔接办理方案范畴的研发的公司,产物和办事笼罩环球90多个国度。)与网络安全厂商卡巴斯基结合宣布申明, ”在2017年7月18日宣布的全线产物在内的版本,均被植入了一份后门性质的歹意代码,该后门可以或许可以或许被入侵攻击者间接应用”。
该变乱被称为“XShellGhost”变乱,“XShellGhost”被定性为因入侵沾染供应链厂商激发的大规模网络安全变乱,将间接招致应用NetSarang系列软件用户成为被长途节制的受益者。
360CERT得悉此变乱后对该变乱展开了阐发,确认NetSarang公司在2017年7月18宣布的Xmanager, Xshell, Xftp, Xlpd等产物中的nssock2.dll模块中被植入了歹意代码。
本申报是360CERT对变乱中所应用的入侵攻击技巧的一个回想和总结。
0x01 变乱概述
8月7日,NetSarang公司宣布网络安全通知布告,称其近来更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在网络安全破绽,并表现8月5日曾经宣布了修复版本。
随后,经网络安全研究职员阐发发明NetSarang公司在7月18日宣布的nssock2.dll模块中被植入了歹意代码,间接影响到应用该系列软件的用户。
8月16日,NetSarang公司与网络安全厂商卡巴斯基结合宣布申明,表露了歹意代码的相干信息。NetSarang公司并未解释破绽的成因,内部阐发可以或许是在产物宣布性命周期被入侵攻击,招致7月18日的版本被植入后门。
0x02 民间申明
长期以来为应答层出不穷的网络入侵攻击,NetSarang公司采用了一系列的办法和举动来强化本身产物线的网络安全性,防止被歹意代码沾染、贸易特工构造渗透的环境产生。
遗憾的是,在2017年7月18日宣布的全线产物在内的版本,均被植入了一份后门性质的歹意代码,该后门可以或许可以或许被入侵攻击者间接应用。
咱们深知,客户和用户的网络安全是咱们公司最高的优先级和基本,更是咱们的职责地点。当今天下,经由进程入侵攻击贸易、合法性质的软件来赢利或蓄意入侵攻击其用户的入侵攻击团伙和构造正在日趋增加是一个逼真的实际成绩,在这里,NetSarang会和别的计算机软件行业里的公司异样,认真的应答这一挑衅。
NetSarang致力于掩护用户的隐衷网络安全,且曾经整合了一套松软的系统来包管不会再有类似的具备网络安全缺点的产物被输送到用户手中。NetSarang会继承评价和改良咱们的网络安全,这不仅仅是为了袭击来自天下遍地的网络特工团伙,更是为了让公司的忠诚用户可以或许继承相信咱们。"
今朝Kaspersky的产物曾经支撑检测名为“Backdoor.Win32.ShadowPad.a”的ShadowPad样本。
Kaspersky实验室倡议用户尽快更新到NetSarang产物软件的最新版本,在最新版本中歹意代码曾经被移除,别的倡议检测系统能否有对应的歹意域名拜访记载。相干的C2域名和后门歹意代码技巧信息曾经在相干的技巧申报中说起。
注:更多信息可以或许见[参考7]
0x03 变乱影响面
1.影响面
该变乱属于严重网络网络安全变乱,实际影响规模广。
网络安全预警品级:橙色预警
2.影响版本
依据民间网络安全告示,肯定触及如下版本:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1325
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
0x04 歹意代码技巧细节
1.全体流程
受益者在装置,启动了带有后门的客户端后,nssock2.dll模块中的入侵攻击代码会以Shellcode情势在后盾被挪用解密履行。
该Shellcode分为多加密块,基于插件模子架构,各模块之间卖力分歧功效且和谐事情、相互挪用,实际阐发后发明中央存在大批反抗计划,秘密性较强,该后门还包括了如下几个特色:
无自启动项,无自力落地文件
存在花指令和部门加密函数计划
多种通讯协定的长途节制
自动发送受益主机基本信息
经由进程特定的DGA(域名天生算法)产生的DNS域名传送至长途敕令节制办事器
C&C办事器可静态下发随意率性代码至用户机械履行
全体流程如下图所示:

后门的全体流程大抵分为如下9个步调:
1.    Xshell启动后会加载静态链接库nssock2.dll。
2.    在DllMain履行前由全局工具结构启动引子代码。
3.    引子代码重要功效便是解密shellcode1并跳转到进口处履行。
4.    shellcode1(loader)加载shellcode2。
5.    shellcode2中将汇集用户信息结构DNS TXT包传送至依据年份和月份天生的DGA域名,同时接管解密shellcode3的key并写入注册表,一旦注册表中查问到对应的值随即解密shellcode3并履行。
6.    Shellcode3(loader)重要卖力加载Root模块并跳转到进口处履行。
7.    Root被加载后接着分离加载Plugin,Config,Install,Online和DNS模块。
8.    Install模块会创立svchost.exe并把Root模块注入,实现持久化运转。
9.    Online模块会依据其设置装备摆设初始化网络相干资本,向指定办事地点发送信息,并期待云端静态下发代码停止下一步入侵攻击。
2.Shellcode1(Loader)
该后门是基于插件形式开辟的,Root模块供给了插件的基本框架,各插件之间会相互挪用,而在各个插件加载时都邑屡次用到同一个loader,loader中的代码中参加了化指令停止滋扰,详细实现细节为如下8个步调:

1.    获得kernel32基地点。
2.    获得所需相干函数地点(Loadlibary、GetProcAddress、VirtualAlloc、Sleep)。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载