99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

Xshell是一款強大,著名的終端模擬軟件，被廣泛的用于服務(wù)器運維和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。它提供業(yè)界領(lǐng)先的性能和強大功能，在免費終端模擬軟件中有著不可替代的地位。企業(yè)版中擁有更專業(yè)的功能其中包括:標簽式的環(huán)境，動態(tài)端口轉(zhuǎn)發(fā)，自定義鍵映射，用戶定義按鈕，VB腳本和用于顯示2 byte字符和支持國際語言的UNICODE終端。

目前xshell最高版本為 Xshell 5 Build 1326 該版本更新于2017年8月5日.

日前，獲悉某安全公司發(fā)現(xiàn)NetSarang的Xmanager, Xshell, Xftp, Xlpd等產(chǎn)品中，發(fā)布的nssock2.dll模塊中存在惡意代碼，在Xshell 5.0.1322和Xshell 5.0.1325兩個版本中均已確認惡意代碼存在:

危害等級

? ? ? ? ? ?[+]嚴重

影響版本

根據(jù)NetSarang 8月7日 的安全公告(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html)

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1325

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

均受到影響

簡要分析

通過行為分析發(fā)現(xiàn)后門會對一個箱子域名“nylalobghyhirgh.com”發(fā)起請求。

該域名開啟了隱私保護，且只能查詢到NS記錄:

此外，該域名還會向多個超長域名做滲出，且域名采用了DGA生成算法，通過DNS解析時滲出數(shù)據(jù)。

部分生成域名如下：

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

通過逆向分析shellcode，我們還原了箱子域名的生成方式，其行為通過DGA算法每月生成一個域名并做解析:

還原后的2017年整個DGA域名為：

1月域名:tgpupqtylejgb.com

2月域名:psdghsbujex.com

3月域名:lenszqjmdilgdoz.com

4月域名:huxerorebmzir.com

5月域名:dghqjqzavqn.com

6月域名:vwrcbohspufip.com

7月域名:ribotqtonut.com

8月域名:nylalobghyhirgh.com

9月域名:jkvmdmjyfcvkf.com

10月域名:bafyvoruzgjitwr.com

11月域名:xmponmzmxkxkh.com

12月域名:tczafklirkl.com

對12個域名分析NS解析情況后發(fā)現(xiàn)，從7月開始才被注冊解析到qhoster.net的NS Server上，所以我們猜測這個惡意代碼事件至少是從7月開始的。

修復(fù)方案

NetSarang官方已經(jīng)在Xmanager Enterprise Build 1236，Xmanager Build 1049，Xshell Build 1326，Xftp Build 1222和Xlpd Build 1224 這幾個最新的Builds版本中修復(fù)了該問題。

我們建議受影響的用戶，及時更新最新版本。

最新Builds下載地址:?https://www.netsarang.com/download/software.html

安全公告:?https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

IOC

結(jié)論

通過第一時間分析，已經(jīng)確認了該問題的存在，且官方也針對該問題發(fā)布了公告，惡意代碼具體行為和細節(jié)將在分析完成后第一時間預(yù)警公告。