行业信息

Xshell多版本被植入后门,建议更新到最新版本 - 正航科技

时间:2017-08-16 19:00来源:互联网 作者:正航 点击:
近日,XShell远程终端工具发现被加入了恶意代码,目前官方就此事也做出了回应,要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析,对此次带有后 门的XShell工具进

近日,XShell远程终端工具发现被加入了恶意代码,目前官方就此事也做出了回应,要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析,对此次带有后门的XShell工具进行了分析。

整个恶意过程可以通过下图来展示

Xshell多版本被植入后门

整个作恶过程分为3部分,第一部分是被patch的XShell启动后,执行到恶意的shellcode1。shellcode1解密后续数据后,执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项,如果不存在Data键值,则会收集用户信息,通过DNS 协议传走,并获取云端配置数据写回到注册表。第三部分,如果注册表项中有该键值,则会开始执行后续的恶意行为,通过注册表中的key来解密出shellcode3,最终会创建svchost进程,并盗取主机信息。

关于 Xshell:

Xshell 是一款强大、著名的终端模拟软件,被广泛地用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能。其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

目前 Xshell 最高版本为 Xshell 5 Build 1326,该版本更新于2017年8月5日。

本次受影响的版本:

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

查杀与建议:

1,目前NetSarang公司已经发布公告,如果有运维人员使用了公告中提到的受影响版本,请尽快升级。

2,运维人员发现IOC中列出的域名请求时,请尽快进行排查。

3,已经中毒的电脑,建议查杀后,韩国主机 香港服务器,应尽快修改服务器的密码。


(责任编辑:正航)
免责声明:本网站部分文章和信息来源于国际互联网由程序自动整理,本网转载出于传递更多信息和学习之目的,并不意味着赞同其观点或证实其内容的真实性。 如转载稿涉及版权等问题,请立即联系管理员,我们会予以更改或删除相关文章,保证您的权利。