运维的同学们对Xshell再熟悉不过了。这款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。
Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。
遭遇“后门事件”
日前,某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在。
通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。该域名开启了隐私保护,且只能查询到NS记录
此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。
后门执行基本流程:
Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数字签名,但已经被多家安全厂商标记为恶意。
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册
存在后门的版本
现已证实一下版本存在后门,各位看清楚啦:
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
注:国内大量下载站点上的版本,目前都是上述有问题的版本
行为特征:
存在后门的版本会向nylalobghyhirgh.com发起请求,一天的访问量超过800万...除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了
域名whois信息,该域名开启了隐私保护。数据传输疑似通过DNS外带。
没有问题的版本
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
解决方法
去官网网站下载更新最新版本
如果之前是从有问题版本升级到最新的,有可能信息已经泄露,保险起见建议修改密码,目前仅能证明该程序获取了(用户名、主机名、网络信息等),其他信息还在进一步核实。
NetSarang官方回复
“1322版本存在后门。我们发布了1326版本修复了这个后门问题。请立即更新避免继续受到该问题的影响”: