運維的(de)同學們對(duì)Xshell再熟悉不(bù)過了(le​α→)。這(zhè)款強大(dà),著名的(de)Ω§終端模拟軟件(jiàn)，被廣泛的(de)用(yòng)于服務器(qì)運維∞₽α和(hé)管理(lǐ)，支持SSH，SFTP≠₹≥γ，TELNET，RLOGIN和(hé)SER☆® γIAL功能(néng)。它提供業(yè)界領先的(de)性能(n±₩"₹éng)和(hé)強大(dà)功能(néng)，在免費(fèi)終端模拟軟§β件(jiàn)中有(yǒu)著(zhe)不(bù)可(kě€ )替代的(de)地(dì)位。企業(yè)版•γ '中擁有(yǒu)更專業(yè)的(de)↓"功能(néng)其中包括:标簽式的(de)環境，動态端口轉發φ≤π✘，自(zì)定義鍵映射，用(yòng)戶定義按鈕，VB腳本和(÷✘hé)用(yòng)于顯示2 byte字符和(hé)支持國(₽γΩguó)際語言的(de)UNICODE終端。

 

 

Xshell提供許多(duō)用(yòng)戶友(yǒu)好(₽‍>hǎo)的(de)，在其他(tā)終端終端模拟軟件(¶β•jiàn)沒有(yǒu)的(de)功能(néng)。這(zhè)些(xiē)α÷功能(néng)包括:通(tōng)過拖放(f✔¶≥àng)文(wén)件(jiàn)進行(xíng)Z​™€modem文(wén)件(jiàn)上(shàng)傳和(hé)Zm↔α∞odem文(wén)件(jiàn)下(xià)載，簡易模>₩♣←式，全屏模式，透明(míng)度選項和(hé)自( φ≤zì)定義布局模式,等。使用(yòng)Xshell執行(xíng)終端任¶₩ 務節省時(shí)間(jiān)和(hé)精力。

 

 

遭遇“後門(mén)事(shì)件(✔↕jiàn)”

日(rì)前，某安全公司發現(xiàn)NetSar$​'ang的(de)Xmanager, Xshell, Xftp↓☆←, Xlpd等産品中，發布的(de)nssock2Ωε.dll模塊中存在惡意代碼，在Xshell 5.0.1322和(hé★γ→€)Xshell 5.0.1325兩個(g✔©βè)版本中均已确認惡意代碼存在。

 

通(tōng)過行(xíng)為(wèi)分(fē÷≤∞n)析發現(xiàn)後門(mén)會(huì)>₹‍對(duì)一(yī)個(gè)箱子(zα Ωǐ)域名“nylalobghyhirgh.com”發起✔®請(qǐng)求。該域名開(kāi)啓了(le)隐私保± €護，且隻能(néng)查詢到(dào)NS記錄

 

此外(wài)，該域名還(hái)會(huì)向多(d★↕ uō)個(gè)超長(cháng)域名做(zuò)滲出，且域™¥"×名采用(yòng)了(le)DGA生(sh'×β£ēng)成算(suàn)法，通(tōng)過DNS解析時(sh•★'•í)滲出數(shù)據。

 

後門(mén)執行(xíng)基本流程：

 

Xshell相(xiàng)關的(de)用(yòng)于網絡通(tōσ₩§ ng)信的(de)組件(jiàn)nssock2.π§α'dll被發現(xiàn)存在後門(mén)類型的(de)代∏★π碼，DLL本身(shēn)有(yǒu)廠(chǎng)商合法™<♠σ的(de)數(shù)字簽名，但(dàn)₽™¥已經被多(duō)家(jiā)安全廠(chǎng)±φ♦商标記為(wèi)惡意。

 

每個(gè)月(yuè)通(tōng)過特定算(↓$Ωsuàn)法生(shēng)成一(yī)個(gè)新的(↑∏de)控制(zhì)域名，目前部分(fēn)已經被作(zuò)者注×←€冊

 

 

存在後門(mén)的(de)版本

現(xiàn)已證實一(yī)下(xià)ε>γ版本存在後門(mén)，各位看(kàn)清楚啦： 

 

Xshell Build&nbs∑₹αΩp;5.0.1322

Xshell Build 5.0.132€£5

Xmanager Enterprise 5.0 ↕λBuild 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Bui≤<®"ld 1221

Xlpd 5.0 Build 1220

 

注：國(guó)內(nèi)大(dà)量下(xià)載 λΩ站(zhàn)點上(shàng)的(de)版本，目前都(dōu≈↔ ✔)是(shì)上(shàng)述有(yǒu)問(wèn)題的(de)版本☆¥♦

 

行(xíng)為(wèi)特征：

存在後門(mén)的(de)版本會(huì)向nylalobghyh₽ε÷πirgh.com發起請(qǐng)求，一(yī)天的γ∏☆÷(de)訪問(wèn)量超過800萬...除了(le✘ )官方版本強制(zhì)更新，恐怕也(yě)找§∏‌↑不(bù)到(dào)其他(tā)途徑有(yǒu)這™>(zhè)麽多(duō)的(de)量了(le)

 

域名whois信息，該域名開(kāi)啓了(le)隐私保護。數(s•>hù)據傳輸疑似通(tōng)過DNS外(wài)帶ε ≠∏。

 

沒有(yǒu)問(wèn)題的(de)版本

Xmanager Enterprise Bui•∑ ♠ld 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

 

 

解決方法

去(qù)官網網站(zhàn)下(xià) ↓₽載更新最新版本

 

如(rú)果之前是(shì)從(cóng₽✘¶÷)有(yǒu)問(wèn)題版本升級到(dào)最新的(β∑↔γde)，有(yǒu)可(kě)能(néng)ε•信息已經洩露，保險起見(jiàn)建議(yì)修改密碼，目前僅能®β↓×(néng)證明(míng)該程序獲取了(le)（•'☆用(yòng)戶名、主機(jī)名、網絡信息等），其他(tā)信息​♠↑♣還(hái)在進一(yī)步核實。

 

NetSarang官方回複

“1322版本存在後門(mén)。我們發布了(le)132>÷  6版本修複了(le)這(zhè)個(gè)後門(mén)問(♠®wèn)題。請(qǐng)立即更新避免繼續$ ∏β受到(dào)該問(wèn)題的(de)影(yǐng®∑₩Ω)響”：