「NetSarang的Xmanager和Xshell多種產品被植入後門事件」分析報告

NetSarang是一家國外以提供安全連接解決方案的公司，其產品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd遠程連接管理客戶端軟體，一般應用於IT運維技術人員進行遠程運維管理。

近日，國內安全公司發現官方發布的軟體版本中，nssock2.dll模塊源碼被植入後門，阿里雲應急響應團隊獲取情報後，立即啟動應急響應分析。通過技術分析，該後門會上傳敏感數據到服務端。由於使用該軟體的開發、運維等技術人員較多，存在較高的安全風險。

一. 受影響版本

根據官方8月7日發布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

)顯示，受影響版本主要包括:

• Xmanager Enterprise 5.0 Build 1232
• Xmanager 5.0 Build 1045
• Xshell 5.0 Build 1322
• Xftp 5.0 Build 1218
• Xlpd 5.0 Build 1220

二. 安全風險判斷

根據對被植入的後門代碼分析結果判斷，一旦用戶使用了受影響版本，將會上傳用戶、機器、網路相關信息到遠端伺服器，從而導致敏感信息泄露，存在較為嚴重的安全風險。

阿里雲安全團隊提醒用戶關注並啟動自查處理，具體處理方式參見第五章節「安全建議」部分。

三. 技術原理分析

阿里雲安全團隊與2017年8月14日 12:36分拿到後門樣本，並進行了深入的技術原理分析。

Xshell相關的用於網路通信的組件nssock2.dll被發現存在後門類型的代碼，DLL本身有廠商合法的數據簽名。

（圖 1nssock2.dll文件數字簽名信息）

（圖 2nssock2.dll文件詳細信息）

（圖 3VT檢測結果信息）

（圖 4賽門鐵克防病毒軟體檢測結果）

通過補丁對比，發現官方最新的nssock2.dll移除了以下幾個函數，所以後門代碼應該就存在於這幾個函數中

（圖 5對比函數）

進一步分析這幾個函數，主要功能是申請內存，解密一段」特殊代碼」（暫定為mal_code），然後再執行該代碼，這種行為通常是後門用來執行shellcode。

（圖 6解密函數代碼片段）

（圖 7惡意代碼片段）

mal_code（惡意代碼）解密後會以線程的方式運行，通過調用GetSystemTime函數，獲取當前時間，採用DGA生成演算法，生成C2域名。

（圖 8惡意代碼使用的DGA演算法）

該域名whois信息：

（圖 9 域名whois信息）

截止到分析時間，該域名已經無法解析：

通過以上演算法，還原後的2017年全年的DGA域名為：

2017年1月域名:http://tgpupqtylejgb.com

2017年2月域名:http://psdghsbujex.com

2017年3月域名:http://lenszqjmdilgdoz.com

2017年4月域名:http://huxerorebmzir.com

2017年5月域名:http://dghqjqzavqn.com

2017年6月域名:http://vwrcbohspufip.com

2017年7月域名:http://ribotqtonut.com

2017年8月域名:http://nylalobghyhirgh.com（**本次遠程C2域名**）

2017年9月域名:http://jkvmdmjyfcvkf.com

2017年10月域名:http://bafyvoruzgjitwr.com

2017年11月域名:http://xmponmzmxkxkh.com

2017年12月域名:http://tczafklirkl.com

隨後，該樣本會採集用戶、機器的相關信息。

（圖 11 獲取到的敏感信息）

並將採集到的敏感信息發送到指定域名。

（圖 12 向遠端指定的域名發送數據）

由於當前各路情報公開了C2域名，截止到分析時間，該域名解析已經失效，後續行為難以繼續進行分析。

四. 檢測方法

1. 檢查是否使用了受影響版本範圍內的軟體；
2. 安裝企業版防病毒軟體，更新病毒庫，使用防病毒軟體全盤查殺。

五. 安全建議

阿里雲與2017年8月14日 14:35分對外發布全網預警公告，並給出了安全解決方案：

1. 安裝防病毒軟體，更新病毒庫對全盤進行查殺，並更換操作系統賬號密碼;
2. 卸載受影響版本軟體;
3. 及時升級到官方的最新版本;
4. 目前市面上的堡壘機使用該軟體，建議檢查堡壘機內的Xshell套件是否存在此類問題( 註：阿里雲提供的堡壘機未使用該軟體，不受此類事件影響。);
5. 提升安全意識，不要到非官方網站下載並安裝軟體。

附錄：

• 阿里雲官方安全公告：https://help.aliyun.com/noticelist/articleid/20505392.html?spm=5176.789213612.n2.6.3ugAAp
• 態勢感知情報信息： 登錄到阿里云云盾控制台，點擊「情報」即可查閱：

（圖 13態勢感知界面）

• 阿里雲用戶幫助文檔：https://help.aliyun.com/knowledge_detail/57931.html?spm=5176.7720505392.n2.4.bhKlgM
• 阿里雲論壇： https://bbs.aliyun.com/read/324232.html?spm=5176.bbsl215.0.0.u4Aaeq

更多技術乾貨敬請關注云棲社區知乎機構號：阿里云云棲社區 - 知乎

推薦閱讀：