Xshell 多版本存在后门,或上传用户服务器账号密码 - 开源中国社区
Xshell 多版本存在后门,或上传用户服务器账号密码
局长 2017年08月14日

Xshell 多版本存在后门,或上传用户服务器账号密码

局长 局长 发布于2017年08月14日 收藏 39

有免费的MySQL,为什么还要买? >>>  

重大事件,知名终端模拟软件 Xshell 多版本存在后门,或上传用户服务器账号密码。

日前,360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中,发布的 nssock2.dll 模块中存在恶意代码,在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在:

官方公告

值得一提的是 1326 的升级提示很有意思: 提示修复了 nssock2.dll 的一个远程漏洞。

简要分析

360CERT 通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

该域名开启了隐私保护,且只能查询到 NS 记录:

数据来源360CERT

此外,该域名还会向多个超长域名做渗出,且域名采用了 DGA 生成算法,通过 DNS 解析时渗出数据。

部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

基本流程


Xshell 相关的用于网络通信的组件 nssock2.dll 被发现存在后门类型的代码,DLL 本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意:

每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册

  • 2017-06    vwrcbohspufip.com

  • 2017-07    ribotqtonut.com

  • 2017-08    nylalobghyhirgh.com

  • 2017-09    jkvmdmjyfcvkf.com

  • 2017-10    bafyvoruzgjitwr.com

  • 2017-11    xmponmzmxkxkh.com

  • 2017-12    tczafklirkl.com

存在后门版本(已验证)

  • Xshell Build 5.0.1322

  • Xshell Build 5.0.1325

  • Xmanager Enterprise 5.0 Build 1232

  • Xmanager 5.0 Build 1045

  • Xftp 5.0 Build 1218

  • Xftp 5.0 Build 1221

  • Xlpd 5.0 Build 1220

PS:国内大量下载站,目前都是上述有问题的版本。

行为特征

存在后门的版本会向 nylalobghyhirgh.com 发起请求,一天的访问量超过 800 万,除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。

数据来源:360网络安全研究院

域名 whois 信息,该域名开启了隐私保护。

数据来源:360网络安全研究院

数据传输疑似通过 DNS 外带

数据来源:360网络安全研究院

没有问题的版本

  • Xmanager Enterprise Build 1236

  • Xmanager Build 1049

  • Xshell Build 1326

  • Xftp Build 1222

  • Xlpd Build 1224

https://download.netsarang.com

解决办法

  1. 去官方网站下载最新版本。最新 Builds 下载地址:https://www.netsarang.com/download/software.html

  2. 如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。

目前 Xshell 最高版本为 Xshell 5 Build 1326,该版本更新于 2017 年 8 月 5 日。

NetSarang 官方回复


1322 版本存在后门。我们发布了 1326 版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。

简介

Xshell 是一款强大、著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能,其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行 Zmodem 文件上传,简单模式,全屏模式,透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。

参考来源

来自:安全客

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Xshell 多版本存在后门,或上传用户服务器账号密码
分享
评论(82)
精彩评论
18
吓得我赶紧改了虚拟机里的账号密码.
10
Xshell是商业闭源软件,有后门也就很正常了.
Windows上还是老老实实用开源的PuTTY吧.
注意,网上有一些所谓的PuTTY汉化版,千万别用,据说程序被汉化者植入了后门.

7
大爷的,我是xhell的重度使用者,这尼玛不是要坑我几十台服务器吗?
5
解决办法居然是继续使用该软件的最新版本......
4
360真会往自己脸上贴金啊,全篇都是强调自己的名字,而发现这个安全漏洞的 卡巴斯基实验室 就被以某安全公司带过
最新评论
0
用私钥登录受影响吗?
0
换个来用?!
1
360、QQ上传的东西,远比Xshell上传的多,反正都吃了两口屎了,也不在乎再喝一口尿,就当漱口了。
0
赶紧换
0
我只想说,这手段真高明,你虽然发现了,但是你找不到我。就是这么屌
5
解决办法居然是继续使用该软件的最新版本......
0
老老实实putty+xming的
0
我用卡巴斯基,帮我拦截并删除了 nssock2.dll
1

引用来自“twisted3”的评论

是开发xshell的故意做的还是后来被植入的
这个问题请高人解一下
0
在用的:
Xshell.exe: 5.0.0032, nssock2.dll: 5.0.0021, nsssh3.dll: 5.0.0028, nsprofile2.dll: 5.0.0020, nslicense.dll: 5.0.0015, nsutil2.dll: 5.0.0021, nsverchk.exe: 5.0.0008, Xagent.exe: 5.0.0016, Xactivator.exe: 5.0.0003
中招没?
0
好像没有证明泄露了用户名和密码
0

引用来自“回去干活”的评论

大爷的,我是xhell的重度使用者,这尼玛不是要坑我几十台服务器吗?
回去干活
0
卧槽,我的服务器。
0

引用来自“一一无念”的评论

明天去公司干掉这个软件永不出现在我的软件包了里 并且计划年底基于putty 实现一个类似的软件 求道有
你有联系方式吗?我就是你的道友~
4
360真会往自己脸上贴金啊,全篇都是强调自己的名字,而发现这个安全漏洞的 卡巴斯基实验室 就被以某安全公司带过
0
大坑
0
我想问一下……5.0.0.34是什么版本……
0
这种产品太缺德了。
0
明天去公司干掉这个软件永不出现在我的软件包了里 并且计划年底基于putty 实现一个类似的软件 求道有
2
作死
顶部