Xshell存在后门

Xshell

它是一款终端模拟软件，由NetSarang公司出品，支持SSH一、SSH2和Windows系统中Telnet协议。

简介

卡巴斯基实验室在8月7日发现Xshell软件中的nssock2.dll文件存在恶意代码，会建立恶意的进程，向一个域名发送DNS请求（详见技术分析），盗取主机的信息，包括用于链接服务器的帐号密码等，但据NetSarang论坛工做人员描述，保存的用户名密码不受影响。

NetSarang公司已经发布官方公告，可尽快升级至最新版本

影响版本

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

Build 1220目前最新版本为Xshell 5 Build 1326，官方已经修复了该问题

危害

用户经过Xshell链接目标机器，黑客一旦获取其帐号密码，颇有可能直接对登录服务器，执行任意操做，对用户、企业形成不可估量的损失。

 

步骤1：我的应急响应与修复

针对我的用户，可用以下三个方法检测是否存在后门：

（一） 查看DNS域名请求记录信息

注：因平台云虚拟化限制，此步骤仅作了解

可使用以下命令查找是否请求了服务器：

ipconfig/displaydns //显示DNS客户解析器缓存 

如图，在红框若是出现nylalobghyhirgh.com，ribotqtonut.com 字样的，就说明Xshell版本存在后门。

经过DGA算法，每月经过特定算法生成一个新的控制域名，目前部分已经被做者注册。

ribotqtonut.com（2017年7月）
nylalobghyhirgh.com（2017年8月）
jkvmdmjyfcvkf.com（2017年9月）
bafyvoruzgjitwr.com（2017年10月）
xmponmzmxkxkh.com（2017年11月）
tczafklirkl.com（2017年12月）
vmvahedczyrml.com（2018年1月）
ryfmzcpuxyf.com（2018年2月）
notyraxqrctmnir.com（2018年3月）
fadojcfipgh.com（2018年4月）
...

这些奇怪的域名是什么？为何记录中出现了上述域名，就存在后门？

这是由于nssock2.dll中的恶意代码会对域名发起一个请求，而且该域名还会向多个超长域名作渗出，域名采用了DGA生成算法，经过DNS解析时，向攻击者的服务器传输敏感数据，达到盗取用户Xshell数据的目的。

DGA（域名生成算法）是一种利用随机字符来生成域名，从而用来逃避域名黑名单检测的技术手段。

攻击者7月使用的域名ribotqtonut.com存在多个子域名，且曾于7月24日至26日将该域名的NS解析服务地址分别指向：

• ns1. ribotqtonut.com

• ns2.ribotqtonut.com

• ns3.ribotqtonut.com

• ns5.ribotqtonut.com

这些子域名分别指向209.105.242.187和108.60.212.78两个IP地址

所以只要记录中出现了这些域名或IP，帐号密码就极有可能已被攻击者盗取。

（二）查看Xshell版本号

打开软件,点击帮助菜单栏下的关于 。

能够看到版本号，若是在影响版本范围内，则说明有后门

（三）查看DLL文件版本号

查看目录：C:\Program Files\NetSarang\Xshell 5\nssock.dll文件，若是其版本为5.0.0.26 ，则说明存在后门

（四）校验DLL文件MD5值

双击打开桌面的MD5校验exe程序，直接将须要校验的文件(C:\Program Files\NetSarang\Xshell 5\nssock.dll)拖拽进去便可，如图：

（五）使用脚本应急修复

用户可以使用以下命令保存在bat文件，经过双击执行，会将以下信息写入到Hosts文件（windows\system32\drivers\etc\hosts）中，可将攻击者的域名解析到本地，从而达到屏蔽这些域名的目的。

(注：实验环境中已将脚本添加至Xshell后门修复我的版.bat中)

@echo off echo. :backup_start echo 正在向hosts文件写入数据…… cd \windows\system32\drivers\etc echo 127.0.0.0 *.ribotqtonut.com >> hosts echo 127.0.0.0 *.nylalobghyhirgh.com >> hosts echo 127.0.0.0 *.jkvmdmjyfcvkf.com >> hosts echo 127.0.0.0 *.bafyvoruzgjitwr.com >> hosts echo 127.0.0.0 *.xmponmzmxkxkh.com >> hosts echo 127.0.0.0 *.tczafklirkl.com >> hosts echo 127.0.0.0 *.vmvahedczyrml.com >> hosts echo 127.0.0.0 *.ryfmzcpuxyf.com >> hosts echo 127.0.0.0 *.notyraxqrctmnir.com >> hosts echo 127.0.0.0 *.fadojcfipgh.com >> hosts echo 127.0.0.0 *.notped.com >> hosts echo 127.0.0.0 *.dnsgogle.com >> hosts echo 完成！ echo 按任意键退出 pause 

（六）升级软件版本

用户也能够将软件升级至最新的版本，首先卸载当前版本软件，并使用安全软件进行全盘查杀，下载最新版本，以后修改原来的密码便可。

官方已经发布了无后门的新版本，在实际环境中访问以下地址下载：

https://www.netsarang.com/download/main.html 

下载完成以后务必对nssock.dll文件进行MD5校验，确保与官方MD5值一致：

MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249 

步骤2：企业应急响应

注:因虚拟化限制，没法在平台模拟企业环境，此步骤请在实际环境中自测

该软件会收集用户信息，经过DNS协议传走。能够经过该后门每月的DGA算法，能够推算出其后几个月的用于信息传输的恶意域名：

存在后门的XShell等程序会在启动时发起大量请求DNS域名请求，并根据使用者系统时间生成不一样的请求连接，其中 7月的相关域名为ribotqtonut.com，而8月的相关域名为nylalobghyhirgh.com。

（一）行为管理限制恶意DNS请求

运维人员可在路由上对出去的流量进行行为控制，将上述域名屏蔽便可。

127.0.0.0    *.ribotqtonut.com
127.0.0.0    *.nylalobghyhirgh.com
127.0.0.0    *.jkvmdmjyfcvkf.com
127.0.0.0    *.bafyvoruzgjitwr.com
127.0.0.0    *.xmponmzmxkxkh.com
127.0.0.0    *.tczafklirkl.com
127.0.0.0    *.vmvahedczyrml.com
127.0.0.0    *.ryfmzcpuxyf.com
127.0.0.0    *.notyraxqrctmnir.com
127.0.0.0    *.fadojcfipgh.com
127.0.0.0    *.notped.com
127.0.0.0    *.dnsgogle.com

（二） 升级软件版本

官方已经发布了无后门的新版本，访问以下地址下载：

https://www.netsarang.com/download/main.html 

下载完成以后务必对MD5进行校验，确保与官方MD5值一致：

MD5: a15d3ca207b914a5eedb765035ba2950 SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249 

企业中若存在域环境，运维在发送安全预警后，可经过域控批量升级主机软件版本。

总结

本实验分别给我的用户与企业用户提供了紧急响应的方案，使用上述方法进行修复后的操做系统，基本能够避免这次事件带来的损失。