首页 » Network_security » Network_A_D » 正文

Xshell后门的检测修复和简单分析

0x01 概述

2017年8月,著名安全终端模拟软件xshell爆出存在后门,似乎有黑客入侵了开发人员的电脑在源码中植入后门,存在后门的是nssock2.dll(5.0.0.26)模块,后门通过向域名发送DNS请求向服务器传输用户名和密码。

netsarang的公告:

https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

0x02 影响范围

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

0x03 后门检测

1.软件安装目录下找到dll文件,右键该文件查看属性,如果版本号为5.0.0.26则存在后门代码。

MD5:97363d50a279492fda14cbab53429e75

SHA-1:f1a181d29b38dfe60d8ea487e8ed0ef30f064763

SHA-256:536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882

696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb

515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0

c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f

462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8

(hash来源于网络)

2.检查所在网络是否存在对于下节IOC域名的解析记录,如发现,则有存在后门的Xshell。

ipconfig/displaydns,如果出现DGA域名(详细域名见0x07),则存在后门。

0x04 修复方案

1.升级到最新版本

2.将相关DGA域名解析到本地

0x05 简单分析

用户启动带后门的xshell后,软件加载nssock2.dll并执行shellcode获取用户相关信息。后门根据系统时间的不同,利用DGA算法每月计算出不同的域名,通过域名解析将用户信息传到黑客的服务器。

0x06 结语

xshell用户赶紧升级最新版本吧,还有下载软件最好能到真正的官网下载,有些软件是没有中文下载站的。

0x07 IOC

ribotqtonut.com(2017年7月)

nylalobghyhirgh.com(2017年8月)

jkvmdmjyfcvkf.com(2017年9月)

bafyvoruzgjitwr.com(2017年10月)

xmponmzmxkxkh.com(2017年11月)

tczafklirkl.com(2017年12月)

vmvahedczyrml.com(2018年1月)

ryfmzcpuxyf.com(2018年2月)

notyraxqrctmnir.com(2018年3月)

fadojcfipgh.com(2018年4月)

bqnabanejkvmpyb.com(2018年5月)

xcxmtyvwhonod.com(2018年6月)

tshylahobob.com(2018年7月)

notped.com

dnsgogle.com

0x08 参考资料

http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor

http://www.freebuf.com/articles/terminal/144254.html

 

 

 

 

 

 

 

 

Comment