近日,XShell遠程終端工具發現被加入了惡意代碼,目前官方就此事也做出了回應,要求使用者盡快下載最新版本。騰訊安全反病毒實驗室就此跟進分析,對此次帶有后門的XShell工具進行了分析。
近日,XShell遠程終端工具發現被加入了惡意代碼,目前官方就此事也做出了回應,要求使用者盡快下載最新版本。騰訊安全反病毒實驗室就此跟進分析,對此次帶有后門的XShell工具進行了分析。
整個惡意過程可以通過下圖來展示
整個作惡過程分為3部分,第一部分是被patch的XShell啟動后,執行到惡意的shellcode1。shellcode1解密后續數據后,執行該段代碼shellcode2。第二部分shellcode2運行后會判斷注冊表項,如果不存在Data鍵值,則會收集用戶信息,通過DNS 協議傳走,并獲取云端配置數據寫回到注冊表。第三部分,如果注冊表項中有該鍵值,則會開始執行后續的惡意行為,通過注冊表中的key來解密出shellcode3,最終會創建svchost進程,并盜取主機信息。
關于 Xshell:
Xshell 是一款強大、著名的終端模擬軟件,被廣泛地用于服務器運維和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。它提供業界領先的性能和強大功能,在免費終端模擬軟件中有著不可替代的地位。企業版中擁有更專業的功能。其中包括:標簽式的環境,動態端口轉發,自定義鍵映射,用戶定義按鈕,VB 腳本和用于顯示 2 byte 字符和支持國際語言的 UNICODE 終端。
目前 Xshell 最高版本為 Xshell 5 Build 1326,該版本更新于2017年8月5日。
本次受影響的版本:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
查殺與建議:
1,目前NetSarang公司已經發布公告,如果有運維人員使用了公告中提到的受影響版本,請盡快升級。
2,運維人員發現IOC中列出的域名請求時,請盡快進行排查。
3,已經中毒的電腦,建議查殺后,應盡快修改服務器的密碼。
河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
