近日,XShell遠(yuǎn)程終端工具發(fā)現(xiàn)被加入了惡意代碼,目前官方就此事也做出了回應(yīng),要求使用者盡快下載最新版本。騰訊安全反病毒實(shí)驗(yàn)室就此跟進(jìn)分析,對此次帶有后門的XShell工具進(jìn)行了分析。
近日,XShell遠(yuǎn)程終端工具發(fā)現(xiàn)被加入了惡意代碼,目前官方就此事也做出了回應(yīng),要求使用者盡快下載最新版本。騰訊安全反病毒實(shí)驗(yàn)室就此跟進(jìn)分析,對此次帶有后門的XShell工具進(jìn)行了分析。
整個惡意過程可以通過下圖來展示
整個作惡過程分為3部分,第一部分是被patch的XShell啟動后,執(zhí)行到惡意的shellcode1。shellcode1解密后續(xù)數(shù)據(jù)后,執(zhí)行該段代碼shellcode2。第二部分shellcode2運(yùn)行后會判斷注冊表項(xiàng),如果不存在Data鍵值,則會收集用戶信息,通過DNS 協(xié)議傳走,并獲取云端配置數(shù)據(jù)寫回到注冊表。第三部分,如果注冊表項(xiàng)中有該鍵值,則會開始執(zhí)行后續(xù)的惡意行為,通過注冊表中的key來解密出shellcode3,最終會創(chuàng)建svchost進(jìn)程,并盜取主機(jī)信息。
關(guān)于 Xshell:
Xshell 是一款強(qiáng)大、著名的終端模擬軟件,被廣泛地用于服務(wù)器運(yùn)維和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供業(yè)界領(lǐng)先的性能和強(qiáng)大功能,在免費(fèi)終端模擬軟件中有著不可替代的地位。企業(yè)版中擁有更專業(yè)的功能。其中包括:標(biāo)簽式的環(huán)境,動態(tài)端口轉(zhuǎn)發(fā),自定義鍵映射,用戶定義按鈕,VB 腳本和用于顯示 2 byte 字符和支持國際語言的 UNICODE 終端。
目前 Xshell 最高版本為 Xshell 5 Build 1326,該版本更新于2017年8月5日。
本次受影響的版本:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
查殺與建議:
1,目前NetSarang公司已經(jīng)發(fā)布公告,如果有運(yùn)維人員使用了公告中提到的受影響版本,請盡快升級。
2,運(yùn)維人員發(fā)現(xiàn)IOC中列出的域名請求時,請盡快進(jìn)行排查。
3,已經(jīng)中毒的電腦,建議查殺后,應(yīng)盡快修改服務(wù)器的密碼。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900