XShell官方软件被植入后门溯源分析

近日，境内外多家安全公司爆料称NetSarang旗下Xmanager和Xshell 等产品的多个版本被植入后门代码，由于相关软件在国内程序开发和运维人员中被广泛使用，可能导致大量用户服务器账号密码泄露。

微步在线对相关样本进行了分析和跟进，目前主要发现包括：

l 情报数据分析发现，在7月 23日至31日使用过相关Xshell等产品的用户信息 极有可能已被攻击者窃取，由于其他时间段内C&C无任何DNS解析，且NS服务器指向正常，信息被窃取的可能性较小，但不排除攻击者在后续过程中再次修改配置实施攻击。

l 后门程序通过DGA算法，根据系统时间、机器名等参数每月生成一个新的C&C 域名，并通过DNS TXT请求进行通信，具体C&C域名信息见附录。

l 分析发现lucyaggregate@gmail.com和hostay88@gmail.com 两个邮箱与此次事件有较大关联，幕后团伙的活动时间或可追溯至2014年。

l 建议客户根据附录版本对相关软件进行全面排查，如发现对应文件和域名请求，请立即修改相关服务器登录账号密码。

事件概要

攻击目标

开发、运维人员

时间跨度

2017年7月18日— 8月14日

攻击复杂度

丰富的编程经验

后勤资源

丰富的开发能力

攻击向量

软件供应链污染

风险承受力

高

最终目标

窃取用户账号密码信息

详情

此事件的主要节点如下：

1、2017年8月7日，NetSarang公司发布公告[1]称其 7月18日发布的Xmanager、Xshell 、Xftp和Xlpd等多个产品存在安全漏洞，建议用户停用相关版本的产品，并及时更新至8 月5日发布的最新版。

2、8月9日，多个境外用户在卡巴斯基的论坛称其 XShell目录下的nssock2.dll文件被杀软报毒[2] ，共公开了该文件的MD5为97363d50a279492fda14cbab53429e75。

3、以97363d50a279492fda14cbab53429e75为基础，关联发现多个nssock2.dll 样本(见附件)，这些文件最早编译于2017年7月13日，最后一个编译于 2017年7月21日，时间点与NetSarang 发布存在后门程序的产品吻合。

图 1 关联样本在微步分析平台检测结果

4、存在后门的XShell等程序会在启动时发起大量请求DNS域名请求，并根据使用者系统时间生成不同的请求链接(见附件)，其中 7月的相关域名为ribotqtonut.com，而8月的相关域名为nylalobghyhirgh.com 。

5、对后门程序动态生成的10余个域名分析发现，攻击者最早于7月 23、24日在NameSilo网站注册了7 月至12月相关的6个域名，启用了隐私保护服务，无指向IP地址; 8月1日，攻击者再次在NameSilo网站注册了2018 年1月、2月、3月、 7月相关的4个域名，注册者为LucyAnteo，注册邮箱为 lucyaggregate@gmail.com。

6、进一步分析发现，攻击者7月使用的域名ribotqtonut.com存在多个子域名，且曾于7月24日至26日将该域名的NS解析服务地址分别指向ns1. ribotqtonut.com、ns2.ribotqtonut.com、ns3.ribotqtonut.com、ns5.ribotqtonut.com，且这些子域名分别指向209.105.242.187和108.60.212.78两个IP地址(属地均为美国)，因此在这段时间使用过 Xshell等产品的用户信息有极大可能已被攻击者窃取。

7、通过“追踪溯源系统”对上述IP拓线时发现，另一个Gmail邮箱( hostay88@gmail.com)与之存在较强关联，该邮箱于2014年、2015年期间注册了 paniesx.com、notped.com、techniciantext.com、 operatingbox.com和dnsgogle.com等5个域名( https://x.threatbook.cn/domain/notped.com)，其中前四个域名均可通过系统直接关联。

8、查询发现，notped.com和dnsgogle.com均存在多个与此次事件类似的超长子域名，据此判断攻击者为同一团伙的可能性较大，活动时间或可追溯至 2014年。

行动建议

1、 依据附录产品版本号全面排查公司员工是否使用相关软件，并从官网下载最新版本。

2、 建议公司安全管理人员重点排查2017年7 月23日至31日的DNS访问日志，如出现 ribotqtonut.com子域名相关访问记录，建议修改对应员工使用过Xmanager 、XShell、Xftp等相关的登录账号密码。

3、 如发现对应文件和DNS域名请求，请立即修改服务器登录账号密码。

附录

受影响产品及版本

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xshell 5.0 Build 1325

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

IOC

DNS请求域名(需涵盖子域名)

ribotqtonut.com(2017年7月)

nylalobghyhirgh.com(2017年8月)

jkvmdmjyfcvkf.com(2017年9月)

bafyvoruzgjitwr.com(2017年10月)

xmponmzmxkxkh.com(2017年11月)

tczafklirkl.com(2017年12月)

vmvahedczyrml.com(2018年1月)

ryfmzcpuxyf.com(2018年2月)

notyraxqrctmnir.com(2018年3月)

fadojcfipgh.com(2018年4月)

bqnabanejkvmpyb.com(2018年5月)

xcxmtyvwhonod.com(2018年6月)

tshylahobob.com(2018年7月)

notped.com

dnsgogle.com

后门DLL文件SHA256

536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882

696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb

515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0

c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f

462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8