歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

遠程終端管理工具Xshell被植入后門代碼事件分析報告

來源:本站整理 作者:佚名 時間:2017-08-24 TAG: 我要投稿

文檔信息
文檔編號
360Ti-2017-0005
關鍵字
Xshell backdoor
發布日期
2017-08-15
更新日期
2017-08-18
TLP
WHITE
分析團隊
360威脅情報中心、360安全監測與響應中心
事件概要
攻擊目標
使用Xshell遠程管理工具進行系統管理的用戶
攻擊目的
收集系統相關的信息,可能通過專用插件執行遠程控制類的功能
主要風險
系統相關的敏感信息泄露,相關的基礎設施被非授權控制
攻擊入口
下載安裝執行某個官方版本的Xshell類軟件
使用漏洞

通信控制
通過DNS隧道進行數據通信和控制
抗檢測能力
無文件落地、插件工結構、繁復的二進制代碼加密變換以抵抗分析
受影響應用
Xshell 5.0 Build 1322Xshell 5.0 Build 1325Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045Xftp 5.0 Build 1218Xlpd 5.0 Build 1220
已知影響
目前評估國內受影響用戶在十萬級別,已知部分知名互聯網公司中招
分析摘要:· 戰術· 技術·  過程
1. Xshell的開發廠商NetSarang極可能受到滲透,軟件的組件nssock2.dll被插件后門代碼,相應的軟件包在官網被提供下載使用,所發布出來的程序有廠商的合法數字簽名。2. 后門版本的Xshell軟件被執行以后,內置的后門Shellcode得到執行,通過DNS隧道向外部服務器報告主機信息,并激活下一階段的惡意代碼。 3. 后門代碼的C&C通信使用了DGA域名,每月生成一個新的。4. 后門惡意代碼采用了插件式的結構,無文件落地方式執行,配置信息注冊表存儲,可以執行攻擊者指定的任意功能,完成以后不留文件痕跡。惡意代碼內置了多種抵抗分析的機制,顯示了非常高端的技術能力。  
事件簡述
近日,非常流行的遠程終端Xshell被發現被植入了后門代碼,用戶如果使用了特洛伊化的Xshell工具版本會導致本機相關的敏感信息被泄露到攻擊者所控制的機器甚至被遠程控制執行更多惡意操作。
Xshell特別是Build 1322在國內的使用面很大,敏感信息的泄露及可能的遠程控制導致巨大的安全風險,我們強烈建議用戶檢查自己所使用的Xshell版本,如發現,建議采取必要的補救措施。
事件時間線
2017年8月7日
流行遠程管理工具Xshell系列軟件的廠商NetSarang發布了一個更新通告,聲稱在卡巴斯基的配合下發現并解決了一個在7月18日的發布版本的安全問題,提醒用戶升級軟件,其中沒有提及任何技術細節和問題的實質,而且聲稱沒有發現漏洞被利用。
2017年8月14日
360威脅情報中心分析了Xshell Build 1322版本(此版本在國內被大量分發使用),發現并確認其中的nssock2.dll組件存在后門代碼,惡意代碼會收集主機信息往DGA的域名發送并存在其他更多的惡意功能代碼。360威脅情報中心發布了初始的分析報告,并對后續更復雜的惡意代碼做進一步的挖掘分析,之后其他安全廠商也陸續確認了類似的發現。
2017年8月15日
卡巴斯基發布了相關的事件說明及技術分析,與360威脅情報中心的分析完全一致,事件可以比較明確地認為是基于源碼層次的惡意代碼植入。非正常的網絡行為導致相關的惡意代碼被卡巴斯基發現并報告軟件廠商,在8月7日NetSarang發布報告時事實上已經出現了惡意代碼在用戶處啟動執行的情況。同日NetSarang更新了8月7日的公告,加入了卡巴斯基的事件分析鏈接,標記刪除了沒有發現問題被利用的說法。
影響面和危害分析
目前已經確認使用了特洛伊化的Xshell的用戶機器一旦啟動程序,主機相關基本信息(主機名、域名、用戶名)會被發送出去。同時,如果外部的C&C服務器處于活動狀態,受影響系統則可能收到激活數據包啟動下一階段的惡意代碼,這些惡意代碼為插件式架構,可能執行攻擊者指定任意惡意功能,包括但不僅限于遠程持久化控制、竊取更多敏感信息。
根據360網絡研究院的C&C域名相關的訪問數量評估,國內受影響的用戶或機器數量在十萬級別,同時,數據顯示一些知名的互聯網公司有大量用戶受到攻擊,泄露主機相關的信息。
解決方案
檢查目前所使用的Xshell版本是否為受影響版本,如果組織保存有網絡訪問日志或進行實時的DNS訪問監控,檢查所在網絡是否存在對于附錄節相關IOC域名的解析記錄,如發現,則有內網機器在使用存在后門的Xshell版本。
目前廠商NetSarang已經在Xshell Build 1326及以后的版本中處理了這個問題,請升級到最新版本,修改相關系統的用戶名口令。廠商修復過的版本如下:
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
軟件下載地址:https://www.netsarang.com/download/software.html
技術分析
基本執行流程
Xshell相關的用于網絡通信的組件nssock2.dll被發現存在后門類型的代碼,DLL本身有廠商合法的數字簽名,但已經被多家安全廠商標記為惡意:

360威脅情報中心發現其存在加載執行Shellcode的功能:

我們將這段代碼命名為loader_code1, 其主要執行加載器的功能,會再解出一段新的代碼(module_Activation),然后動態加載需要的Windows API和重定位,跳轉過去。
經過對進程執行的整體分析觀察,對大致的執行流程還原如下圖所示:

基本插件模塊
Module_Activation
module_Activation會開啟一個線程,然后創建注冊表項:HKEY_CURRENT_USER\SOFTWARE\-[0-9]+(后面的數字串通過磁盤信息xor  0xD592FC92生成),然后通過RegQueryValueExA查詢該注冊表項下”Data ”鍵值來執行不同的功能流程。

[1] [2] [3] [4] [5] [6] [7] [8]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐