NetSarang的Xmanager和Xshell多种产品被植入后门 绿盟科技发布分析与防护方案
NetSarang的Xmanager和Xshell等远程连接产品在日常安全运维中使用量不小,但不幸的是,近日安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门。绿盟科技发布技术分析与防护方案,报告全文如下
netsarang软件中的nssock2.dll模块被植入恶意代码的技术分析与防护方案
NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。
Virustotal在线检测情况
由分析结果可以知道,nssock2.dll已经被多家杀毒软件识别为恶意的程序,
相关地址:
https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
https://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection
受影响的版本
- Xshell Build 1322
- Xshell Build 1325
- Xmanager Enterprise Build 1232
- Xmanager Build 1045
- Xmanager Build 1048
- Xftp Build 1218
- Xftp Build 1221
- Xlpd Build 1220
不受影响的版本
- Xmanager Enterprise Build 1236
- Xmanager Build 1049
- Xshell Build 1326
- Xftp Build 1222
- Xlpd Build 1224
软件下载情况
存在后门的软件在国内的下载情况:
Xmanager:
Xshell:
技术分析
概述
NetSarang的主要软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码,以下为恶意代码分析。据悉,是黑客渗透到了开发的机器,然后在代码中加入了恶意的代码到官方的源代码中!
参考:
https://www.virustotal.com/#/user/jumze/comments
传播与感染
用户直接下载或软件捆绑下载。
样本分析
分析环境
系统 |
Windows 7, 32bit |
使用工具 |
ProcessMonitor, Xuetr, Wireshark, OllyDBG, IDA, CuteFTP |
绿盟威胁分析系统TAC检测报告评级为中危:
主要功能
- [1] 信息窃取:获取当前计算机名称和当前用户名称;
- [2] 远程控制:代码中已经实现,但由于服务器不存活,导致数据无法解密执行
- [3] 网络行为:IP: 8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前计算机设置的DNS服务器地址; 向dns服务器发送dns包。HOST: nylalobghyhirgh.com; 样本将收集的信息上传到上述服务器;
该恶意后门植入nssock2.dll模块的源码中,是一段被加密的shellcode。
这段shellcode被添加了一定量的花指令,刻意增加分析难度,去除花指令以后,可以发现其创建了一块内存区,解密代码并执行
新代码段中,样本创建了一个线程,之后就回到正常的程序流程中,使得用户很难发现自己所使用的产品中存在后门。
在线程函数中,我们可以看到,样本在不断的获取系统时间,根据系统时间的不同,计算出不同的域名。下图为2017年9月生成的域名:
我们通过修改系统时间获取到的域名情况如下:
时间 |
对应域名 |
2017-06 |
vwrcbohspufip.com |
2017-07 |
ribotqtonut.com |
2017-08 |
nylalobghyhirgh.com |
2017-09 |
jkvmdmjyfcvkf.com |
2017-10 |
bafyvoruzgjitwr.com |
2017-11 |
xmponmzmxkxkh.com |
2017-12 |
tczafklirkl.com |
接着代码会获取当前计算机的名称和计算机用户名信息。
经过如下算法加密后(输入参数为a1,a2,a3,a4。a1=0,a3=0x2D(用户数据的长度),a2=存放用户数据的地址,a4=存放加密后的数据的地址):
结果如下:
然后再将结果进行加密
得到最终加密结果并且发送dns解析请求,将加密后的数据缀在域名前发送给攻击者:
通过此种方法进行发送,具有极高的隐蔽性。
我们还发现,在代码执行的过程当中,仍存在一段加密代码,需要从服务器端获取密钥来进行解密,当前情况下已无法进行解密。(密钥存储在a1,a2,调用时传入的参数为a3,同样是从服务器获取)
网络行为
尝试对这几个地址进行连接8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前环境下的DNS服务器地址。
根据时间不同,连接域名也不同。域名见表1。
如果连接域名成功,则将搜集到的信息发送给出去,方式为通过DNS请求将数据重定向到攻击者自己的域名服务器。
启动方式
用户下载xshell并主动运行。
攻击定位
通过对该样本的网络行为进行简单的跟踪,发现报告中8月份的域名在whois中查询到的信息如下:
其他信息被申请者隐藏。
防护方案
用户自查
用户可通过查看的版本来确定是否受此影响:
在软件安装目录下找到文件,右键该文件查看属性,如果版本号为则存在后门代码:
官方解决方案
用户可通过查看的nssock2.dll的版本号的方法来确定是否使用含有后门的软件版本,如果用户正在使用以上受影响的软件版本,请升级到最新版本。官方在最新的软件版本中已经移除了该后门代码,最新的软件版本分别为:
- Xmanager Enterprise Build 1236
- Xmanager Build 1049,
- Xshell Build 1326
- Xftp Build 1222
- Xlpd Build 1224.
官方下载地址如下:
https://www.netsarang.com/download/software.html
技术防护方案
产品类
如果您不清楚是否受此漏洞影响:
1、内网资产可以使用绿盟科技的远程安全评估系统(RSASV6)进行检测。
远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsas
2、绿盟威胁分析系统(TAC)可以进行检测。
http://update.nsfocus.com/update/listTac
通过上述链接,升级至最新版本即可进行检测!
使用绿盟科技防护类产品(IPS/IDS)进行防护:
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
通过上述链接,升级至最新版本即可进行防护!
服务类
绿盟科技提供专业的安全技术服务,全方位的保障客户应用系统安全,避免受此漏洞影响。
- 短期服务:我们可以提供应急服务,服务内容包括对客户应用系统有针对性的提供修复建议,保障客户系统的安全升级。
- 中长期服务:结合绿盟科技检测与防护产品,提供7*24的安全运营服务,在客户应用系统遭到安全威胁时第一时间通知客户,并定期进行安全检测,针对安全风险提供专业的解决方案。
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文发布时间:2017年8月14日
本文由:绿盟科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
NetSarang的Xmanager和Xshell多种产品被植入后门 绿盟科技发布分析与防护方案相关推荐
- 开发者论坛一周精粹(第十九期) :【重要事件】运维人员注意啦:NetSarang的Xmanager和Xshell多种产品被植入后门...
摘要: 安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门.由于使用该软件的技术人员较多,存在一定的安全风险. 目前官方已经发布了xshell最高版本为 Xshell 5 Bu ...
- 运维人员注意啦:NetSarang的Xmanager和Xshell多种产品被植入后门
Xshell是一款强大.著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能.它提供业界领先的性能和强大功能,在免费终端模拟 ...
- 技术文章 | 运维人员注意啦:NetSarang的Xmanager和Xshell多种产品被植入后门
本文来源于阿里云-云栖社区,原文点击这里. Xshell是一款强大.著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能.它 ...
- “NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告
NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于I ...
- NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案
NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd.最近,官方在2017年7月18日发布的软件被 ...
- 【权威发布】360天眼实验室:Xshell被植入后门代码事件分析报告(完整版)
本文由 安全客 原创发布,如需转载请注明来源及本文地址. 本文地址:http://bobao.360.cn/learning/detail/4278.html 文档信息 事件概要 事件简述 近日,非常 ...
- Xmanager、Xshell、Xftp、Xlpd免费版下载
[网上很多关于Xmanager.Xshell.Xftp.Xlpd的资源,csdn中也有很多这些资源,其实他们大部分给的链接是官网的,有一些根本没用,官网有提供免费版,所以建议大家去官网下载,这样也安全 ...
- Xmanager 与 Xshell 会话表迁移
Xmanager 与 Xshell 会话列表迁移 新安装的Xmanager 没有之前的会话列表 解决方案 新安装的Xmanager 没有之前的会话列表 卸载旧版本(Xmanager 5) 安装新版本的 ...
- 互联网理财系统开发-满足投资人随投随取、多种产品、多种选择、风险更小、收益更多
一.系统介绍 互联网理财系统是依托于P2P网贷系统,为满足理财客户对线上理财产品的多样性需求而研发的新型理财系统,分为D计划.U计划.散标投资三大产品类型. D计划:投资人在网站购买此理财计划,投资款 ...
最新文章
- 堆排序算法实现思想个人理解
- SpringMVC的优点
- 单片机小白学步系列(七) 准备实验板——萝卜青菜,各有所爱
- mysql两种引擎的适用场景_MySQL两种引擎的区别和应用场景
- 【2017年第1期】金融大数据标准规范体系比较研究
- 数据结构与算法-原始版-a+b+c=1000并且a方+b方=c方
- DLog-M什么意思
- java 开发 加固态_搭建一个完整的Java开发环境
- Bailian4029 数字反转【进制】(POJ NOI0105-29)
- leetcode之Contains Duplicate
- sed 追加文本类容_浅谈Linux三剑客中的sed命令之篇二
- 软件构造 git 图形界面看Object Graph
- vs2005 c++ mfc程序无法打开资源文件
- 谈谈多源数据融合-科普基本概念篇
- GRE词汇竟然六小时背一遍
- 全开源!智能灯串开发资料全开源!为这个冬天装点烂漫“星空”
- svn代码被clean up了怎么找回来
- “她经济”时代,兜售少女心的乙女游戏将成新风口?
- 解决QQ安全进程(护盾)弹出问题
- [git]怎样git clone所有远程branch