“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

yuun · · 1914 次点击 · 开始浏览    置顶
这是一个创建于 的主题,其中的信息可能已经有所发展或是发生改变。

摘要: NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。 NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。 近日,国内安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门,阿里云应急响应团队获取情报后,立即启动应急响应分析。通过技术分析,该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多,存在较高的安全风险。  一. 受影响版本 根据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html )显示,受影响版本主要包括: Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xshell 5.0 Build 1322 Xftp 5.0 Build 1218 Xlpd 5.0 Build 1220 二. 安全风险判断 根据对被植入的后门代码分析结果判断,一旦用户使用了受影响版本,将会上传用户、机器、网络相关信息到远端服务器,从而导致敏感信息泄露,存在较为严重的安全风险。 阿里云安全团队提醒用户关注并启动自查处理,具体处理方式参见第五章节“安全建议”部分。 三. 技术原理分析 阿里云安全团队与2017年8月14日 12:36分拿到后门样本,并进行了深入的技术原理分析。 Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名。 图 1nssock2.dll文件数字签名信息 图 2nssock2.dll文件详细信息 图 3VT检测结果信息 图 4赛门铁克防病毒软件检测结果 通过补丁对比,发现官方最新的nssock2.dll移除了以下几个函数,所以后门代码应该就存在于这几个函数中 图 5对比函数 进一步分析这几个函数,主要功能是申请内存,解密一段”特殊代码”(暂定为mal_code),然后再执行该代码,这种行为通常是后门用来执行shellcode。 图 6解密函数代码片段 上图中的mal_code(恶意代码)以加密的形式存在于nssock2.dll中,如下图: 图 7恶意代码片段 mal_code(恶意代码)解密后会以线程的方式运行,通过调用GetSystemTime函数,获取当前时间,采用DGA生成算法,生成C2域名。 图 8恶意代码使用的DGA算法 该域名whois信息: 图 9 域名whois信息 截止到分析时间,该域名已经无法解析: 图 10 域名解析信息 通过以上算法,还原后的2017年全年的DGA域名为: 2017年1月域名:tgpupqtylejgb.com 2017年2月域名:psdghsbujex.com 2017年3月域名:lenszqjmdilgdoz.com 2017年4月域名:huxerorebmzir.com 2017年5月域名:dghqjqzavqn.com 2017年6月域名:vwrcbohspufip.com 2017年7月域名:ribotqtonut.com 2017年8月域名:nylalobghyhirgh.com(**本次远程C2域名**) 2017年9月域名:jkvmdmjyfcvkf.com 2017年10月域名:bafyvoruzgjitwr.com 2017年11月域名:xmponmzmxkxkh.com 2017年12月域名:tczafklirkl.com 随后,该样本会采集用户、机器的相关信息。 图 11 获取到的敏感信息 并将采集到的敏感信息发送到指定域名。 图 12 向远端指定的域名发送数据 由于当前各路情报公开了C2域名,截止到分析时间,该域名解析已经失效,后续行为难以继续进行分析。 四. 检测方法 检查是否使用了受影响版本范围内的软件; 安装企业版防病毒软件,更新病毒库,使用防病毒软件全盘查杀。 五. 安全建议 阿里云与2017年8月14日 14:35分对外发布全网预警公告,并给出了安全解决方案: 安装防病毒软件,更新病毒库对全盘进行查杀,并更换操作系统账号密码; 卸载受影响版本软件; 及时升级到官方的最新版本; 目前市面上的堡垒机使用该软件,建议检查堡垒机内的Xshell套件是否存在此类问题( 注:阿里云提供的堡垒机未使用该软件,不受此类事件影响。); 提升安全意识,不要到非官方网站下载并安装软件。 附录: 阿里云官方安全公告:https://help.aliyun.com/noticelist/articleid/20505392.html?spm=5176.789213612.n2.6.3ugAAp 态势感知情报信息: 登录到阿里云云盾控制台,点击“情报”即可查阅:  图 13态势感知界面 阿里云用户帮助文档:https://help.aliyun.com/knowledge_detail/57931.html?spm=5176.7720505392.n2.4.bhKlgM 阿里云论坛: https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4Aaeq 原文链接:http://click.aliyun.com/m/28449/

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

1914 次点击  
加入收藏 微博
4 回复  |  直到 2017-08-15 09:04:04
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传