点击登录
  • 欢迎访问无限星辰技术博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏无限星辰吧
  • 无限星辰的淘宝店铺已经开张了哦,传送门:http://

XShell官方软件被植入后门自查方法

LINUX服务器 crx349 107次浏览 0个评论 扫描二维码

近日,境内外多家安全公司爆料称NetSarang旗下Xmanager和Xshell 等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。

目前主要发现包括:

l 情报数据分析发现,在7月 23日至31日使用过相关Xshell等产品的用户信息 极有可能已被攻击者窃取,由于其他时间段内C&C无任何DNS解析,且NS服务器指向正常,信息被窃取的可能性较小,但不排除攻击者在后续过程中再次修改配置实施攻击。

l 后门程序通过DGA算法,根据系统时间、机器名等参数每月生成一个新的C&C 域名,并通过DNS TXT请求进行通信,具体C&C域名信息见附录。

l 分析发现lucyaggregate@gmail.com和hostay88@gmail.com 两个邮箱与此次事件有较大关联,幕后团伙的活动时间或可追溯至2014年。

l 建议客户根据附录版本对相关软件进行全面排查,如发现对应文件和域名请求,请立即修改相关服务器登录账号密码

受影响产品及版本

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xshell 5.0 Build 1325

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

IOC

DNS请求域名(需涵盖子域名)

ribotqtonut.com(2017年7月)

nylalobghyhirgh.com(2017年8月)

jkvmdmjyfcvkf.com(2017年9月)

bafyvoruzgjitwr.com(2017年10月)

xmponmzmxkxkh.com(2017年11月)

tczafklirkl.com(2017年12月)

vmvahedczyrml.com(2018年1月)

ryfmzcpuxyf.com(2018年2月)

notyraxqrctmnir.com(2018年3月)

fadojcfipgh.com(2018年4月)

bqnabanejkvmpyb.com(2018年5月)

xcxmtyvwhonod.com(2018年6月)

tshylahobob.com(2018年7月)

notped.com

dnsgogle.com

后门DLL文件SHA256

536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882

696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb

515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0

c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f

462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8

自查方法:
cmd :

ipconfig /displaydns | more

翻页查找 是否有 匹配 DNS请求域名的 如果有 立即修改 服务器密码

bat 屏蔽恶意域名

@echo off
echo.
:backup_start
echo 正在向hosts文件写入数据……
cd C:\windows\system32\drivers\etc
echo 127.0.0.0    *.ribotqtonut.com       >> hosts
echo 127.0.0.0    *.nylalobghyhirgh.com       >> hosts
echo 127.0.0.0    *.jkvmdmjyfcvkf.com       >> hosts
echo 127.0.0.0    *.bafyvoruzgjitwr.com       >> hosts
echo 127.0.0.0    *.xmponmzmxkxkh.com       >> hosts
echo 127.0.0.0    *.tczafklirkl.com       >> hosts
echo 127.0.0.0    *.vmvahedczyrml.com       >> hosts
echo 127.0.0.0    *.ryfmzcpuxyf.com       >> hosts
echo 127.0.0.0    *.notyraxqrctmnir.com       >> hosts
echo 127.0.0.0    *.fadojcfipgh.com       >> hosts
echo 127.0.0.0    *.bqnabanejkvmpyb.com       >> hosts
echo 127.0.0.0    *.xcxmtyvwhonod.com       >> hosts
echo 127.0.0.0    *.tshylahobob.com       >> hosts
echo 127.0.0.0    *.notped.com       >> hosts
echo 127.0.0.0    *.dnsgogle.com       >> hosts
echo 完成!
echo 按任意键退出
pause

无限星辰 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明XShell官方软件被植入后门自查方法
喜欢 (0)
[]
分享 (0)

您必须 登录 才能发表评论!