netsarang是一家國外以提供安全連接配接解決方案的公司,其産品以xmanager enterprise, xmanager, xshell, xftp, xlpd遠端連接配接管理用戶端軟體,一般應用于it運維技術人員進行遠端運維管理。
近日,國内安全公司發現官方釋出的軟體版本中,nssock2.dll子產品源碼被植入後門,阿裡雲應急響應團隊擷取情報後,立即啟動應急響應分析。通過技術分析,該後門會上傳敏感資料到服務端。由于使用該軟體的開發、運維等技術人員較多,存在較高的安全風險。
)顯示,受影響版本主要包括:
xmanager enterprise 5.0 build 1232
xmanager 5.0 build 1045
xshell 5.0 build 1322
xftp 5.0 build 1218
xlpd 5.0 build 1220
根據對被植入的後門代碼分析結果判斷,一旦使用者使用了受影響版本,将會上傳使用者、機器、網絡相關資訊到遠端伺服器,進而導緻敏感資訊洩露,存在較為嚴重的安全風險。
阿裡雲安全團隊提醒使用者關注并啟動自查處理,具體處理方式參見第五章節“安全建議”部分。
阿裡雲安全團隊與2017年8月14日 12:36分拿到後門樣本,并進行了深入的技術原理分析。
xshell相關的用于網絡通信的元件nssock2.dll被發現存在後門類型的代碼,dll本身有廠商合法的資料簽名。
圖 1nssock2.dll檔案數字簽名資訊
圖 2nssock2.dll檔案詳細資訊
圖 3vt檢測結果資訊
圖 4賽門鐵克防病毒軟體檢測結果
通過更新檔對比,發現官方最新的nssock2.dll移除了以下幾個函數,是以後門代碼應該就存在于這幾個函數中
圖 5對比函數
進一步分析這幾個函數,主要功能是申請記憶體,解密一段”特殊代碼”(暫定為mal_code),然後再執行該代碼,這種行為通常是後門用來執行shellcode。
圖 6解密函數代碼片段
上圖中的mal_code(惡意代碼)以加密的形式存在于nssock2.dll中,如下圖:
圖 7惡意代碼片段
mal_code(惡意代碼)解密後會以線程的方式運作,通過調用getsystemtime函數,擷取目前時間,采用dga生成算法,生成c2域名。
圖 8惡意代碼使用的dga算法
該域名whois資訊:
圖 9 域名whois資訊
截止到分析時間,該域名已經無法解析:
圖 10 域名解析資訊
通過以上算法,還原後的2017年全年的dga域名為:
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com(本次遠端c2域名)
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com
随後,該樣本會采集使用者、機器的相關資訊。
圖 11 擷取到的敏感資訊
并将采集到的敏感資訊發送到指定域名。
圖 12 向遠端指定的域名發送資料
由于目前各路情報公開了c2域名,截止到分析時間,該域名解析已經失效,後續行為難以繼續進行分析。
檢查是否使用了受影響版本範圍内的軟體;
安裝企業版防病毒軟體,更新病毒庫,使用防病毒軟體全盤清除。
阿裡雲與2017年8月14日 14:35分對外釋出全網預警公告,并給出了安全解決方案:
安裝防病毒軟體,更新病毒庫對全盤進行清除,并更換作業系統賬号密碼;
解除安裝受影響版本軟體;
及時更新到官方的最新版本;
目前市面上的堡壘機使用該軟體,建議檢查堡壘機内的xshell套件是否存在此類問題( 注:阿裡雲提供的堡壘機未使用該軟體,不受此類事件影響。);
提升安全意識,不要到非官方網站下載下傳并安裝軟體。
态勢感覺情報資訊:
登入到阿裡雲雲盾控制台,點選“情報”即可查閱:
圖 13态勢感覺界面
阿裡雲論壇:
<a href="https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4aaeq">https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4aaeq</a>