NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露,甚至可能远程执行代码。
Virustotal在线检测情况:
由分析结果可以知道,nssock2.dll已经被多家杀毒软件识别为恶意的程序,
受影响的版本
Xshell Build 1322
Xshell Build 1325
Xmanager Enterprise Build 1232
Xmanager Build 1045
Xmanager Build 1048
Xftp Build 1218
Xftp Build 1221
Xlpd Build 1220
不受影响的版本
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
主要功能
[1] 信息窃取:获取当前计算机名称和当前用户名称;
[2] 远程控制:代码中已经实现,但由于服务器不存活,导致数据无法解密执行;
[3] 网络行为:IP: 8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前计算机设置的DNS服务器地址; 向dns服务器发送dns包。
HOST: nylalobghyhirgh.com; 样本将收集的信息上传到上述服务器;
该恶意后门植入nssock2.dll模块的源码中,是一段被加密的shellcode。
这段shellcode被添加了一定量的花指令,刻意增加分析难度,去除花指令以后,可以发现其创建了一块内存区,解密代码并执行
新代码段中,样本创建了一个线程,之后就回到正常的程序流程中,使得用户很难发现自己所使用的产品中存在后门。
在线程函数中,我们可以看到,样本在不断的获取系统时间,根据系统时间的不同,计算出不同的域名。下图为2017年9月生成的域名:
我们通过修改系统时间获取到的域名情况如下:
时间
对应域名
2017-06
vwrcbohspufip.com
2017-07
ribotqtonut.com
2017-08
nylalobghyhirgh.com
2017-09
jkvmdmjyfcvkf.com
2017-10
bafyvoruzgjitwr.com
2017-11
xmponmzmxkxkh.com
2017-12
tczafklirkl.com
接着代码会获取当前计算机的名称和计算机用户名信息。
网络行为
尝试对这几个地址进行连接8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前环境下的DNS服务器地址。
根据时间不同,连接域名也不同。
如果连接域名成功,则将搜集到的信息发送出去,方式为通过DNS请求将数据重定向到攻击者自己的域名服务器。
启动方式
用户下载xshell并主动运行。
攻击定位
防护方案
用户自查
用户可通过查看nssock2.dll的版本来确定是否受此影响:
在软件安装目录下找到nssock2.dll文件,右键该文件查看属性,如果版本号为5.0.0.26则存在后门代码: