XShell官方软件被植入后门溯源分析

发表于:2017-08-15 10:24:41 来源:  FreeBuf.COM 阅读数(0人)

近日,境内外多家安全公司爆料称NetSarang旗下XmanagerXshell 等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。


微步在线对相关样本进行了分析和跟进,目前主要发现包括:


l 情报数据分析发现,在7 23日至31日使用过相关Xshell等产品的用户信息 极有可能已被攻击者窃取,由于其他时间段内C&C无任何DNS解析,且NS服务器指向正常,信息被窃取的可能性较小,但不排除攻击者在后续过程中再次修改配置实施攻击。

l 后门程序通过DGA算法,根据系统时间、机器名等参数每月生成一个新的C&C 域名,并通过DNS TXT请求进行通信,具体C&C域名信息见附录。

l 分析发现lucyaggregate@gmail.comhostay88@gmail.com 两个邮箱与此次事件有较大关联,幕后团伙的活动时间或可追溯至2014年。

l 建议客户根据附录版本对相关软件进行全面排查,如发现对应文件和域名请求,请立即修改相关服务器登录账号密码。


事件概要

攻击目标 开发、运维人员
时间跨度 2017718日— 814
攻击复杂度 丰富的编程经验
后勤资源 丰富的开发能力
攻击向量 软件供应链污染
风险承受力
最终目标 窃取用户账号密码信息

详情

此事件的主要节点如下:


1、2017年8月7日,NetSarang公司发布公告[1]称其 718日发布的XmanagerXshell XftpXlpd等多个产品存在安全漏洞,建议用户停用相关版本的产品,并及时更新至8 5日发布的最新版。


289日,多个境外用户在卡巴斯基的论坛称其 XShell目录下的nssock2.dll文件被杀软报毒[2] ,共公开了该文件的MD597363d50a279492fda14cbab53429e75


3、以97363d50a279492fda14cbab53429e75为基础,关联发现多个nssock2.dll 样本(见附件),这些文件最早编译于2017713日,最后一个编译于 2017721日,时间点与NetSarang 发布存在后门程序的产品吻合。



图 1 关联样本在微步分析平台检测结果


4、存在后门的XShell等程序会在启动时发起大量请求DNS域名请求,并根据使用者系统时间生成不同的请求链接(见附件),其中 7月的相关域名为ribotqtonut.com,而8月的相关域名为nylalobghyhirgh.com


5、对后门程序动态生成的10余个域名分析发现,攻击者最早于7 2324日在NameSilo网站注册了7 月至12月相关的6个域名,启用了隐私保护服务,无指向IP地址; 81日,攻击者再次在NameSilo网站注册了2018 1月、2月、3月、 7月相关的4个域名,注册者为LucyAnteo,注册邮箱为 lucyaggregate@gmail.com


6、进一步分析发现,攻击者7月使用的域名ribotqtonut.com存在多个子域名,且曾于7月24日至26日将该域名的NS解析服务地址分别指向ns1. ribotqtonut.com、ns2.ribotqtonut.com、ns3.ribotqtonut.com、ns5.ribotqtonut.com,且这些子域名分别指向209.105.242.187和108.60.212.78两个IP地址(属地均为美国),因此在这段时间使用过 Xshell等产品的用户信息有极大可能已被攻击者窃取。


7、通过“追踪溯源系统”对上述IP拓线时发现,另一个Gmail邮箱( hostay88@gmail.com)与之存在较强关联,该邮箱于2014年、2015年期间注册了 paniesx.comnotped.comtechniciantext.com operatingbox.comdnsgogle.com5个域名( https://x.threatbook.cn/domain/notped.com),其中前四个域名均可通过系统直接关联。




8、查询发现,notped.comdnsgogle.com均存在多个与此次事件类似的超长子域名,据此判断攻击者为同一团伙的可能性较大,活动时间或可追溯至 2014年。




行动建议

1、 依据附录产品版本号全面排查公司员工是否使用相关软件,并从官网下载最新版本。

2、 建议公司安全管理人员重点排查2017年7 月23日至31日的DNS访问日志,如出现 ribotqtonut.com子域名相关访问记录,建议修改对应员工使用过Xmanager 、XShell、Xftp等相关的登录账号密码。

3、 如发现对应文件和DNS域名请求,请立即修改服务器登录账号密码。 

附录

受影响产品及版本


Xmanager Enterprise 5.0 Build 1232


Xmanager 5.0 Build 1045


Xshell 5.0 Build 1322


Xshell 5.0 Build 1325


Xftp 5.0 Build 1218


Xlpd 5.0 Build 1220


IOC

DNS请求域名(需涵盖子域名


ribotqtonut.com(2017年7月)


nylalobghyhirgh.com(2017年8月)


jkvmdmjyfcvkf.com(2017年9月)


bafyvoruzgjitwr.com(2017年10月)


xmponmzmxkxkh.com(2017年11月)


tczafklirkl.com(2017年12月)


vmvahedczyrml.com(2018年1月)


ryfmzcpuxyf.com(2018年2月)


notyraxqrctmnir.com(2018年3月)


fadojcfipgh.com(2018年4月)


bqnabanejkvmpyb.com(2018年5月)


xcxmtyvwhonod.com(2018年6月)


tshylahobob.com(2018年7月)


notped.com


dnsgogle.com


后门DLL文件SHA256

536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882


696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb


515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0


c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f


462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8


[1] https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html


[2] https://forum.kaspersky.com/index.php?/topic/375143-trojaner-oder-doch-nur-fehlalarm/


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全基础