运维的同学们对Xshell再熟悉不过了。这款强大,著名的终端模拟软件，被广泛的用于服务器运维和管理，支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

 

 

Xshell提供许多用户友好的，在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载，简易模式，全屏模式，透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

 

 

遭遇“后门事件”

日前，某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中，发布的nssock2.dll模块中存在恶意代码，在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在。

 

通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。该域名开启了隐私保护，且只能查询到NS记录

 

此外，该域名还会向多个超长域名做渗出，且域名采用了DGA生成算法，通过DNS解析时渗出数据。

 

后门执行基本流程：

 

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码，DLL本身有厂商合法的数字签名，但已经被多家安全厂商标记为恶意。

 

每个月通过特定算法生成一个新的控制域名，目前部分已经被作者注册

 

 

存在后门的版本

现已证实一下版本存在后门，各位看清楚啦： 

 

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

 

注：国内大量下载站点上的版本，目前都是上述有问题的版本

 

行为特征：

存在后门的版本会向nylalobghyhirgh.com发起请求，一天的访问量超过800万...除了官方版本强制更新，恐怕也找不到其他途径有这么多的量了

 

域名whois信息，该域名开启了隐私保护。数据传输疑似通过DNS外带。

 

没有问题的版本

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

 

 

解决方法

去官网网站下载更新最新版本

 

如果之前是从有问题版本升级到最新的，有可能信息已经泄露，保险起见建议修改密码，目前仅能证明该程序获取了（用户名、主机名、网络信息等），其他信息还在进一步核实。

 

NetSarang官方回复

“1322版本存在后门。我们发布了1326版本修复了这个后门问题。请立即更新避免继续受到该问题的影响”：