近日，XShell遠(yuǎn)程終端工具發(fā)現(xiàn)被加入了惡意代碼，目前官方就此事也做出了回應(yīng)，要求使用者盡快下載最新版本。騰訊安全反病毒實驗室就此跟進(jìn)分析，對此次帶有后門的XShell工具進(jìn)行了分析。

整個惡意過程可以通過下圖來展示

整個作惡過程分為3部分，第一部分是被patch的XShell啟動后，執(zhí)行到惡意的shellcode1。shellcode1解密后續(xù)數(shù)據(jù)后，執(zhí)行該段代碼shellcode2。第二部分shellcode2運(yùn)行后會判斷注冊表項，如果不存在Data鍵值，則會收集用戶信息，通過DNS 協(xié)議傳走，并獲取云端配置數(shù)據(jù)寫回到注冊表。第三部分，如果注冊表項中有該鍵值，則會開始執(zhí)行后續(xù)的惡意行為，通過注冊表中的key來解密出shellcode3，最終會創(chuàng)建svchost進(jìn)程，并盜取主機(jī)信息。

關(guān)于 Xshell：

Xshell 是一款強(qiáng)大、著名的終端模擬軟件，被廣泛地用于服務(wù)器運(yùn)維和管理，Xshell 支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。它提供業(yè)界領(lǐng)先的性能和強(qiáng)大功能，在免費(fèi)終端模擬軟件中有著不可替代的地位。企業(yè)版中擁有更專業(yè)的功能。其中包括：標(biāo)簽式的環(huán)境，動態(tài)端口轉(zhuǎn)發(fā)，自定義鍵映射，用戶定義按鈕，VB 腳本和用于顯示 2 byte 字符和支持國際語言的 UNICODE 終端。

目前 Xshell 最高版本為 Xshell 5 Build 1326，該版本更新于2017年8月5日。

本次受影響的版本：

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

查殺與建議：

1，目前NetSarang公司已經(jīng)發(fā)布公告，如果有運(yùn)維人員使用了公告中提到的受影響版本，請盡快升級。

2，運(yùn)維人員發(fā)現(xiàn)IOC中列出的域名請求時，請盡快進(jìn)行排查。

3，已經(jīng)中毒的電腦，建議查殺后，應(yīng)盡快修改服務(wù)器的密碼。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900