“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

最新推荐文章于 2025-08-11 16:47:14 发布
转载 最新推荐文章于 2025-08-11 16:47:14 发布 · 439 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/171064
文章标签:

#运维 #操作系统

NetSarang的Xshell等软件被发现植入后门,可能泄露用户敏感信息。阿里云安全团队已进行技术分析并提出应对措施。
部署运行你感兴趣的模型镜像

NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。
近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,阿里云应急响应团队获取情报后,立即启动应急响应分析。通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。 

一. 受影响版本

根据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
)显示,受影响版本主要包括:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

二. 安全风险判断

根据对被植入的后门代码分析结果判断,一旦用户使用了受影响版本,将会上传用户、机器、网络相关信息到远端服务器,从而导致敏感信息泄露,存在较为严重的安全风险。

阿里云安全团队提醒用户关注并启动自查处理,具体处理方式参见第五章节“安全建议”部分。

三. 技术原理分析

阿里云安全团队与2017年8月14日 12:36分拿到后门样本,并进行了深入的技术原理分析。

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名。
image

图 1nssock2.dll文件数字签名信息


image

图 2nssock2.dll文件详细信息


image

图 3VT检测结果信息


image

图 4赛门铁克防病毒软件检测结果

通过补丁对比,发现官方最新的nssock2.dll移除了以下几个函数,所以后门代码应该就存在于这几个函数中
image

图 5对比函数

进一步分析这几个函数,主要功能是申请内存,解密一段”特殊代码”(暂定为mal_code),然后再执行该代码,这种行为通常是后门用来执行shellcode。
image

图 6解密函数代码片段

上图中的mal_code(恶意代码)以加密的形式存在于nssock2.dll中,如下图:
image

图 7恶意代码片段

mal_code(恶意代码)解密后会以线程的方式运行,通过调用GetSystemTime函数,获取当前时间,采用DGA生成算法,生成C2域名。
image

图 8恶意代码使用的DGA算法


该域名whois信息:
image

图 9 域名whois信息


截止到分析时间,该域名已经无法解析:
image

图 10 域名解析信息


通过以上算法,还原后的2017年全年的DGA域名为:
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com( 本次远程C2域名
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com

随后,该样本会采集用户、机器的相关信息。

image

图 11 获取到的敏感信息


并将采集到的敏感信息发送到指定域名。
image

图 12 向远端指定的域名发送数据


由于当前各路情报公开了C2域名,截止到分析时间,该域名解析已经失效,后续行为难以继续进行分析。

四. 检测方法

  1. 检查是否使用了受影响版本范围内的软件;
  2. 安装企业版防病毒软件,更新病毒库,使用防病毒软件全盘查杀。

五. 安全建议

阿里云与2017年8月14日 14:35分对外发布全网预警公告,并给出了安全解决方案:

  1. 安装防病毒软件,更新病毒库对全盘进行查杀,并更换操作系统账号密码;
  2. 卸载受影响版本软件;
  3. 及时升级到官方的最新版本;
  4. 目前市面上的堡垒机使用该软件,建议检查堡垒机内的Xshell套件是否存在此类问题( 注:阿里云提供的堡垒机未使用该软件,不受此类事件影响。);
  5. 提升安全意识,不要到非官方网站下载并安装软件。

附录:

image

图 13态势感知界面

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案
zzkk_的博客
08-14 2233
NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户
【威胁通告】netsarang公司软件中的nssock2.dll模块被植入恶意代码
zzkk_的博客
08-14 5841
综述 NetSarang是一家提供安全链接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp Xlpd。在最近的软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码: TAC检测报告评级为中危: 用户可通过查看nssock2.dll的版本来确定是否受此影响: 在软件安装目录下找到nsso
无法进入netsarang官网
颓废大学僧
02-14 4125
原因:hosts文件被修改,可能是之前下载过注册机 1、进入C:\Windows\System32\drivers\etc找到hosts文件,可以看到最下方多出了127.0.0.1+netsarang官网相关网址 2、修改hosts文件:以txt形式保存到桌面并重命名删去“.txt”后缀,剪切到C:\Windows\System32\drivers\etc替换原文件(无法直接在C盘修改) 3、进入网址 参考:您的连接不是私密连接解决 ,netsarang官网进不去_炜钰的博客-CS.
NetSarang Xshell的功能
irose的博客
04-06 2078
NetSarang Xshell是一款最好用的Linux远程连接工具,最强大的SSH终端管理器、SSH远程连接主机客户端 。Xshell,轻松管理远程服务器,会话管理器,支持多选项卡管理主机,支持远程协议Telnet、Rlogin、SSH/SSH PKCS#11、SFTP、Serial,具有Unicode编码支持、动态端口转发、自定义键盘映射、VB脚本支持等。 Xshell 7功能: 1.可继承会话属性 可以在会话文件夹级别设置会话属性。在会话文件夹下创建的任何新会话都将继承其属性。会话文件夹有效地充当新会
NetSarang旗下网络通讯系列产品v5版本更新合集丨附下载
weixin_34205826的博客
04-14 438
2019独角兽企业重金招聘Python工程师标准>>> ...
【权威发布】360追日团队:Xshellghost技术分析——入侵感染供应链软件的大规模定向攻击
wang544831183的博客
08-21 860
本文由 安全客 原创发布,如需转载请注明来源及本文地址。 本文地址:http://bobao.360.cn/learning/detail/4280.html 概述 近日,NetSarang旗下的XmanagerXshell、XftpXlpd等在全球流行使用的服务器远程管理软件曝出被多家杀毒软件报毒查杀的情况,经过360科技集团追日团队调查
xshell7_xmanager7_xftp7.zip
07-28
Xshell 7、Xmanager 7Xftp 7是NetSarang公司开发的一系列产品,它们在IT行业中被广泛用于Windows用户与Linux服务器之间的交互。 **Xshell 7** 是一款功能丰富的终端模拟器,它支持多种协议如SSH、TELNET、RLOGIN...
Xshell、xftp7、xmanager7包含安装使用教程
04-04
Xshell7、Xftp7、Xmanager7均为NetSarang公司的Xmanager Power Suite 7组件,专为Windows用户设计,实现高效安全的远程管理与文件传输。 Xshell7 是一款高级终端模拟器,用于通过SSH、TELNET等协议安全远程连接...
NetSarang Xmanager Enterprise 6 Build 0175 中文多语免费版.zip
05-25
它是一个一站式解决方案,这个软件包含有以下一些产品:Xmanager 3D(OpenGL),Xshell,Xftp Xlpd。 Xmanager PCX Server Xmanager 是一个运行于 MS Windows 平台上的高性能的X window服务器。你可以在你的本地PC...
NetSarang Xmanager Enterprise 5 Build 1236
02-21
NetSarang Xmanager Enterprise是一款功能强大的网络管理软件,由NetSarang计算机公司开发。它的主要作用是在网络环境中提供高效的文件传输终端仿真服务。该软件特别适用于管理服务器远程工作站,尤其是在需要...
NetSarang.Xmanager.Enterprise.5.Build.1236_Soft98.iR.rar
10-24
NetSarang Xmanager Enterprise 5:全能的远程服务器管理工具》 NetSarang Xmanager Enterprise 5是一款强大的远程服务器管理软件,由NetSarang公司开发,旨在为IT专业人员提供全面、安全且高效的远程访问解决...
【安全报告】XShellGhost事件技术回顾报告
wuli1024的博客
01-16 1590
8月份,NetSarang公司(NetSarang Computer, Inc. 是一家致力于全球安全连接解决方案领域的研发的公司,产品服务覆盖全球90多个国家。
下载NetSarangXshell (完全免费)
wuqihawubito的博客
05-27 888
先上连接: XSHELL 然后找到 家庭/学校免费, 然后 填写姓名邮箱即可下载 这里你可能选择了两者,但是下载之后发现还是只有 XSHELL 一个软件,但是其实XFTP是嵌入到XSHELL内部了,所以你可以直接使用 XSHELL界面上的 XFTP ...
运维人员注意啦:NetSarangXmanagerXshell多种产品植入后门
weixin_34198583的博客
08-14 564
Xshell是一款强大、著名的终端模拟软件,被广泛的用于服务器运维管理,Xshell支持SSH,SFTP,TELNET,RLOGINSERIAL功能。它提供业界领先的性能强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境、动态端口转发、自定义键映射、用户定义按钮、VB脚本用于显示2 byte字符...
Netsarang免费版XFTP与XShell工具包
最新发布
weixin_30021053的博客
08-11 932
文件传输协议(FTP)是最早用于互联网文件传输的标准之一,它允许用户通过客户端软件从一台计算机向另一台计算机上传或下载文件。FTP使用TCP/IP协议,建立在客户端-服务器模型之上。用户通常使用FTP客户端软件来连接FTP服务器,并执行如登录、列出文件目录、改变远程目录、下载上传文件等操作。远程桌面与终端虽然都用于远程管理控制,但它们的概念与应用场景有所不同。远程桌面技术如Windows的远程桌面连接,允许用户通过图形界面远程操作另一台计算机,就像坐在那台计算机前面一样。
NetSarang Xshell 7 Build 0164 (SSH工具) 个人免费版
狐狸戾的博客
09-02 1579
NetSarang Xshell免费版是一款免费SSH客户端软件的Linux远程监控工具.Xshell中文版,轻松管理远程主机服务器,会话管理器,支持多选项卡管理主机.Xftp 7最新版以及Xshell 7最新版支持远程协议Telnet,Rlogin,SSH/SSH PKCS#11,SFTP,Serial,具有Unicode编码支持,动态端口转发,自定义键盘映射,VB脚本支持等特色.Xshell免费版 Xshell 7 Build 0164 Multilingual (2024/06/20)
SSH服务5——远程连接工具篇
frank_ci的博客
09-23 611
这里所说的SSH远程连接工具指的是用windows的程序软件去连接Linux,介绍几个常用的连接软件程序。 一、Putty 一款windows下的完全免费软件,诞生较早,体积小易上手是它的特点。官方网站:https://www.putty.org/,最新版为0.74。 二、SecureCRT VanDyke Software公司的一个商业软件,初始版本在1995年10月4日,最新版本为8.7.3。官方网站:https://www.vandyke.com/ 三、Xshell NetSarang公司的一款软件,
netsarang官网访问不到解决方案
这花开吗
03-15 1941
之前的文章中分享了免费试用Xshell的方法,后来netsarang官网无法访问,博主就也没多关注了,今天整理邮箱发现不是不能访问,而是人家换了域名。。。 尬住了。。。同学们需要下载免费版本的Xshell Xftp可以访问👇👇👇 正版Xshell/Xftp免费使用,你还在找破解版吗 重新推出无标签限制的Xshell Xftp 以及中国的新域名 ...
xshell 免费版申请
EmbeddedOsprey
07-10 546
学生免费使用 https://www.netsarang.com/zh/free-for-home-school/
xmanagerxshell下载文件
06-26
Xmanager Xshell 是两款常用的终端模拟器 SSH 客户端工具,它们可以帮助用户远程连接服务器并进行文件传输、管理操作。以下是关于如何使用 **Xmanager** **Xshell** 进行文件下载的方法以及官方下载途径的说明。 ### 使用 Xmanager 下载文件 Xmanager 本身是一个 X Server 工具,主要用于在 Windows 上显示 Linux/Unix 的图形界面应用程序,并不直接支持文件传输功能。但可以结合其他工具(如 Xftp)实现文件下载[^2]。 1. 打开 Xmanager 并建立与远程服务器的连接。 2. 启动 Xftp 或其他 FTP/SFTP 工具。 3. 输入远程服务器的 IP 地址、用户名密码。 4. 在 Xftp 界面中导航到远程服务器上的目标目录。 5. 右键点击需要下载的文件,选择“下载”或将其拖拽至本地窗口区域。 6. 文件将被传输到本地计算机上指定的目录。 ### 使用 Xshell 下载文件 Xshell 支持通过 SFTP 协议进行文件传输,因此可以直接使用其内置的文件传输功能来下载文件。 1. 在 Xshell 中打开已配置好的会话,连接到远程服务器。 2. 按快捷键 `Alt + P` 打开 Xshell 内置的 SFTP 文件传输界面。 3. 在 SFTP 窗口中输入命令: ```bash get remote_file_path local_save_path ``` 例如: ```bash get /home/user/test.txt C:\Users\localuser\Desktop\ ``` 4. 文件将从远程服务器下载到本地路径。 也可以通过右键菜单选择“下载”选项来完成操作。 ### Xmanager Xshell 的官方下载途径 - **Xmanager**:访问 [Xmanager 官方网站](https://www.netsarang.com/),在产品页面中选择最新版本的 Xmanager 下载安装包。该网站提供了详细的安装教程技术支持文档。 - **Xshell**:访问 [Xshell 官方网站](https://www.netsarang.com/products/xsh_overview.html),根据操作系统选择合适的版本进行下载。Xshell 提供免费用于教育个人用途的许可政策。 Xmanager 5 引入了灵活且强大的分页式环境,用户可以通过标签切换多个会话,同时支持窗口分割功能,便于多任务操作[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值