threatBook路人甲
IOC 20

threatBookthreatBook

木马后门官网被搞
微步通告: XShell官方软件被植入后门溯源分析
路人甲
2017-08-15 11:46:47ThreatBook1904
+ 关注

编号: TB-2017-0008                                                                         

报告置信度:85

TAG: Netsarang XShell后门 DNS XShellGhost

TLP: (报告转发及使用不受限制)

日期: 2017-08-14


近日,境内外多家安全公司爆料称NetSarang旗下XmanagerXshell等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。微步在线对相关样本进行了分析和跟进,目前主要发现包括:

+ 基于微步在线情报数据分析发现,在723日至31日使用过相关Xshell等产品的用户信息极有可能已被攻击者窃取,由于其他时间段内C&C无任何DNS解析,且NS服务器指向正常,信息被窃取的可能性较小,但不排除攻击者在后续过程中再次修改配置实施攻击。

+ 后门程序通过DGA算法,根据系统时间、机器名等参数每月生成一个新的C&C域名,并通过DNS TXT请求进行通信,具体C&C域名信息见附录。

+ 分析发现lucyaggregate@gmail.comhostay88@gmail.com两个邮箱与此次事件有较大关联,幕后团伙的活动时间或可追溯至2014年。

+ 建议客户根据附录版本对相关软件进行全面排查,如发现对应文件和域名请求,请立即修改相关服务器登录账号密码。

+ 部署微步在线威胁情报平台的用户,可通过系统告警定位到失陷主机(详见下图),并使用微步在线提供的应急响应予以分析和处理。


………………………………………详  情…………………………………………

此事件的主要节点如下:

1201787日,NetSarang公司发布公告[1]称其718日发布的XmanagerXshellXftpXlpd等多个产品存在安全漏洞,建议用户停用相关版本的产品,并及时更新至85日发布的最新版。

289日,多个境外用户在卡巴斯基的论坛称其XShell目录下的nssock2.dll文件被杀软报毒[2],共公开了该文件的MD597363d50a279492fda14cbab53429e75

3、微步在线以97363d50a279492fda14cbab53429e75为基础,关联发现多个nssock2.dll样本(见附件),这些文件最早编译于2017713日,最后一个编译于2017721日,时间点与NetSarang发布存在后门程序的产品吻合。

1 关联样本在微步分析平台检测结果

4、存在后门的XShell等程序会在启动时发起大量请求DNS域名请求,并根据使用者系统时间生成不同的请求链接(见附件),其中7月的相关域名为ribotqtonut.com,而8月的相关域名为nylalobghyhirgh.com

5、对后门程序动态生成的10余个域名分析发现,攻击者最早于72324日在NameSilo网站注册了7月至12月相关的6个域名,启用了隐私保护服务,无指向IP地址;81日,攻击者再次在NameSilo网站注册了20181月、2月、3月、7月相关的4个域名,注册者为Lucy Anteo,注册邮箱为lucyaggregate@gmail.com

6、进一步分析发现,攻击者7月使用的域名ribotqtonut.com存在多个子域名,且曾于724日至26日将该域名的NS解析服务地址分别指向ns1.ribotqtonut.comns2.ribotqtonut.comns3.ribotqtonut.comns5.ribotqtonut.com,且这些子域名分别指向209.105.242.187108.60.212.78两个IP地址(属地均为美国),因此在这段时间使用过Xshell等产品的用户信息有极大可能已被攻击者窃取。

7、通过微步在线“追踪溯源系统”对上述IP拓线时发现,另一个Gmail邮箱(hostay88@gmail.com)与之存在较强关联,该邮箱于2014年、2015年期间注册了paniesx.comnotped.comtechniciantext.comoperatingbox.comdnsgogle.com5个域名(https://x.threatbook.cn/domain/notped.com),其中前四个域名均可通过系统直接关联。

2 微步在线追踪溯源系统关联结果

                                 

3 微步分析平台查询情况

8、查询发现,notped.comdnsgogle.com均存在多个与此次事件类似的超长子域名,据此判断攻击者为同一团伙的可能性较大,活动时间或可追溯至2014年。



……………………………………行动建议…………………………………………

1、 依据附录产品版本号全面排查公司员工是否使用相关软件,并从官网下载最新版本。

2、 建议公司安全管理人员重点排查2017723日至31日的DNS访问日志,如出现ribotqtonut.com子域名相关访问记录,建议修改对应员工使用过Xmanager XShellXftp等相关的登录账号密码。

3、 如发现对应文件和DNS域名请求,请立即修改服务器登录账号密码。

受影响产品及版本

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xshell 5.0 Build 1325

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220




展开全部ThreatBook

威胁指标(IOC)

域名子域名历史IP样本标签
bafyvoruzgjitwr.com18002
bqnabanejkvmpyb.com6002
dnsgogle.com51003
fadojcfipgh.com6002
jkvmdmjyfcvkf.com17012
查看全部15threatBook
Hash检测结果样本标签
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde812/2505
515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a012/2504
536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e988210/2504
696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb11/2504
c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f11/2504
10

评论

ThreatBook
匿名用户
2018-05-23 17:05:55
threatBook0
厉害
匿名用户
2018-05-22 16:03:00
threatBook0
还有这种操作?
匿名用户
2018-05-21 16:16:59
threatBook0
不错
匿名用户
2018-05-21 16:11:28
threatBook0
姿势可以
匿名用户
2018-05-21 16:10:04
threatBook0
姿势可以
匿名用户
2018-05-21 16:07:24
threatBook0
学习学习1
h0st
2018-05-21 16:06:52
threatBook0
新姿势学习下。。。
匿名用户
2018-05-21 16:06:03
threatBook0
学习学习
匿名用户
2018-05-21 16:04:16
threatBook0
厉害了
匿名用户
2018-05-21 15:56:36
threatBook0
学习个
匿名用户
2018-05-21 15:49:44
threatBook0
niupi 1
匿名用户
2018-05-21 15:48:47
threatBook0
niupi
匿名用户
2018-05-21 15:47:32
threatBook0
77777
匿名用户
2018-05-21 15:46:27
threatBook0
666
匿名用户
2018-05-21 15:45:08
threatBook0
666
匿名用户
2018-05-21 15:44:02
threatBook0
666
已经到底了,没有更多内容了
Copyright © ThreatBook.CN All Rights Reserved.京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号