首页 » NetworkSec » AWD » 正文

Xshell后门的检测修复和简单分析

0x01 概述

2017年8月,著名安全终端模拟软件xshell爆出存在后门,似乎有黑客入侵了开发人员的电脑在源码中植入后门,存在后门的是nssock2.dll(5.0.0.26)模块,后门通过向域名发送DNS请求向服务器传输用户名和密码。
netsarang的公告:
https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

0x02 影响范围

Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220

0x03 后门检测

1.软件安装目录下找到dll文件,右键该文件查看属性,如果版本号为5.0.0.26则存在后门代码。
MD5:97363d50a279492fda14cbab53429e75
SHA-1:f1a181d29b38dfe60d8ea487e8ed0ef30f064763
SHA-256:536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882
696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb
515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0
c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
(hash来源于网络)
2.检查所在网络是否存在对于下节IOC域名的解析记录,如发现,则有存在后门的Xshell。
ipconfig/displaydns,如果出现DGA域名(详细域名见0x07),则存在后门。

0x04 修复方案

1.升级到最新版本
2.将相关DGA域名解析到本地

0x05 简单分析

用户启动带后门的xshell后,软件加载nssock2.dll并执行shellcode获取用户相关信息。后门根据系统时间的不同,利用DGA算法每月计算出不同的域名,通过域名解析将用户信息传到黑客的服务器。

0x06 结语

xshell用户赶紧升级最新版本吧,还有下载软件最好能到真正的官网下载,有些软件是没有中文下载站的。

0x07 IOC

ribotqtonut.com(2017年7月)
nylalobghyhirgh.com(2017年8月)
jkvmdmjyfcvkf.com(2017年9月)
bafyvoruzgjitwr.com(2017年10月)
xmponmzmxkxkh.com(2017年11月)
tczafklirkl.com(2017年12月)
vmvahedczyrml.com(2018年1月)
ryfmzcpuxyf.com(2018年2月)
notyraxqrctmnir.com(2018年3月)
fadojcfipgh.com(2018年4月)
bqnabanejkvmpyb.com(2018年5月)
xcxmtyvwhonod.com(2018年6月)
tshylahobob.com(2018年7月)
notped.com
dnsgogle.com

0x08 参考资料

http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor
http://www.freebuf.com/articles/terminal/144254.html
 
 
 
 
 
 
 
 

Comment

please input captcha *