410      阿裏雲  技術社區[雲棲]

“NetSarang的Xmanager和Xshell多種產品被植入後門事件”分析報告

NetSarang是一家國外以提供安全連接解決方案的公司，其產品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd遠程連接管理客戶端軟件，一般應用於IT運維技術人員進行遠程運維管理。
近日，國內安全公司發現官方發布的軟件版本中，nssock2.dll模塊源碼被植入後門，通過技術分析，該後門會上傳敏感數據到服務端。由於使用該軟件的開發、運維等技術人員較多，存在較高的安全風險。 

一. 受影響版本

根據官方8月7日發布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
)顯示，受影響版本主要包括:

• Xmanager Enterprise 5.0 Build 1232
• Xmanager 5.0 Build 1045
• Xshell 5.0 Build 1322
• Xftp 5.0 Build 1218
• Xlpd 5.0 Build 1220

二. 安全風險判斷

根據對被植入的後門代碼分析結果判斷，一旦用戶使用了受影響版本，將會上傳用戶、機器、網絡相關信息到遠端服務器，從而導致敏感信息泄露，存在較為嚴重的安全風險。

阿裏雲安全團隊提醒用戶關注並啟動自查處理，具體處理方式參見第五章節“安全建議”部分。

三. 技術原理分析

阿裏雲安全團隊與2017年8月14日 12:36分拿到後門樣本，並進行了深入的技術原理分析。

Xshell相關的用於網絡通信的組件nssock2.dll被發現存在後門類型的代碼，DLL本身有廠商合法的數據簽名。

圖 1nssock2.dll數字簽名信息

圖 2nssock2.dll 詳細信息

圖 3VT檢測結果信息

圖 4賽門鐵克防病毒軟件檢測結果

通過補丁對比，發現官方最新的nssock2.dll移除了以下幾個函數，所以後門代碼應該就存在於這幾個函數中

圖 5對比函數

進一步分析這幾個函數，主要功能是申請內存，解密一段”特殊代碼”（暫定為mal_code），然後再執行該代碼，這種行為通常是後門用來執行shellcode。

圖 6解密函數代碼片段

上圖中的mal_code（惡意代碼）以加密的形式存在於nssock2.dll中，如下圖:

圖 7惡意代碼片段

mal_code（惡意代碼）解密後會以線程的方式運行，通過調用GetSystemTime函數，獲取當前時間，采用DGA生成算法，生成C2域名。

圖 8惡意代碼使用的DGA算法

該域名whois信息：

圖 9 域名whois信息

截止到分析時間，該域名已經無法解析：

圖 10 域名解析信息

通過以上算法，還原後的2017年全年的DGA域名為：
2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com（**本次遠程C2域名**）
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com

隨後，該樣本會采集用戶、機器的相關信息。

圖 11 獲取到的敏感信息

並將采集到的敏感信息發送到指定域名。

圖 12 向遠端指定的域名發送數據

由於當前各路情報公開的了域名，截止到分析事件，該域名解析失效，後續行為難以繼續進行分析。

四. 檢測方法

1. 檢查是否在受影響版本範圍內
2. 使用防病毒軟件查殺

五. 安全建議

阿裏雲與2017年8月14日 14:35分對外發布全網預警公告，並給出了安全解決方案：

1. 安裝防病毒軟件，更新病毒庫對全盤進行查殺，並更換操作係統賬號密碼;
2. 卸載受影響版本軟件;
3. 及時升級到官方的最新版本;
4. 目前市麵上的堡壘機使用該軟件，建議檢查堡壘機內的Xshell套件是否存在此類問題( 注：阿裏雲提供的堡壘機未使用該軟件，不受此類事件影響。);
5. 提升安全意識，不要到非官方網站下載並安裝軟件。

附錄：

• 阿裏雲官方安全公告：https://help.aliyun.com/noticelist/articleid/20505392.html?spm=5176.789213612.n2.6.3ugAAp
• 態勢感知情報信息： 登錄到阿裏雲雲盾控製台，點擊“情報”即可查閱：

圖 13態勢感知界麵

• 阿裏雲用戶幫助文檔：https://help.aliyun.com/knowledge_detail/57931.html?spm=5176.7720505392.n2.4.bhKlgM
• 阿裏雲論壇： https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4Aaeq

最後更新：2017-08-15 09:32:28

  上一篇：  The Influx of Banking Trojans – A New Variant of BankBot Trojan

  下一篇：  PHP實戰技術攻略