Xshell 被植入后门代码如何补救？专家告诉你这样作

简述：

近日，很是流行的远程终端Xshell被发现被植入了后门代码，用户若是使用了特洛伊化的Xshell工具版本可能致使所敏感信息被泄露到***者所控制的机器。 

Xshell特别是Build 1322在国内的使用面很大，敏感信息的泄露可能致使巨大的安全风险，咱们强烈建议用户检查本身所使用的Xshell版本，如发现，建议采起必要的补救措施。

受影响系统

• Xshell 5.0 Build 1322

• Xshell 5.0 Build 1325

• Xmanager Enterprise 5.0 Build 1232

• Xmanager 5.0 Build 1045

• Xftp 5.0 Build 1218

• Xlpd 5.0 Build 1220

技术细节

Xshell相关的用于网络通讯的组件nssock2.dll被发现存在后门类型的代码，DLL自己有厂商合法的数据签名，但已经被多家安全厂商标记为恶意：

360威胁情报中心发现其存在加载执行Shellcode的功能：

调试发现Shellcode会收集主机信息，生成一个月一个的DGA域名并尝试作解析，其中8月的域名为nylalobghyhirgh.com，360威胁情报中心显示此域名为隐私保护状态：

此域名目前已观察到7月23日注册，8月3日达到解析量的顶峰，从360网络研究院的数据来看解析量很是巨大，达到800万。

全部的请求类型为NS记录，也就是说域名极有可能被用来析出数据而不是用于C&C控制。

影响

使用了***化Xshell的用户很可能致使本机或相关所管理远程系统的敏感信息泄露。

解决方案

检查目前所使用的Xshell版本是否为受影响版本，若是组织保存有网络访问日志，检查所在网络是否存在对于下节IOC域名的解析记录，如发现，则有内网机器在使用存在后门的Xshell版本。

目前厂商已经在Xshell Build 1326及之后的版本中处理了这个问题，请升级到最新版本，修改相关系统的用户名口令。

升级地址：https://www.netsarang.com/download/software.html

IOC

域名	说明
vwrcbohspufip.com	6月DGA域名
ribotqtonut.com	7月DGA域名
nylalobghyhirgh.com	8月DGA域名
jkvmdmjyfcvkf.com	9月DGA域名
bafyvoruzgjitwr.com	10月DGA域名
文件HASH
97363d50a279492fda14cbab53429e75	文件名nssock.dll

携程网安全运维总监雷兵建议：

以前也发生过 putty 中文版被人植入后门的事情，根据咱们以往的经验，首先当即查版本， 有问题赶忙处理，删除有后门版本，及时改服务器密码。

被管服务器最好可以有源地址限制， 有条件的上双因素认证，运维堡垒机，或证书验证等其余措施，避免由于用户名密码泄露就形成服务器失守。

用户不要在非官网下载工具软件，要有专人获取安全漏洞信息并及时相应 。

还能够对服务器登陆日志进行自动化异常检测，以及主机 hids 及时发现异常。

我国著名安全专家范渊：从xcoder到xshell事件能够看出，***者已经不知足直接经过漏洞控制你了，而是经过植入后门到你使用的基础软件来控制你的一切。

参考连接https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html