運維的(de)同學們對(duì)Xshell再熟悉不(bù)過了(le)≈≥₩₹。這(zhè)款強大(dà),著名的(de)終端模✘£Ω 拟軟件(jiàn)，被廣泛的(de)用(yòng)于服務器(qì)運維和(hα↑↑é)管理(lǐ)，支持SSH，SFTP，TELNET，R£∏LOGIN和(hé)SERIAL功能(néngφ♥)。它提供業(yè)界領先的(de)性能(néng)和(hé)÷§強大(dà)功能(néng)，在免費(fèi)β×&>終端模拟軟件(jiàn)中有(yǒu)著(zhe)不(bù)可(kě)替代的​≥₹(de)地(dì)位。企業(yè)版中擁有(yǒu♣₹₽)更專業(yè)的(de)功能(néng)其中包括:标簽式的(de)環境，$‌動态端口轉發，自(zì)定義鍵映射，用(yòng)戶定義按鈕，VB腳∞•×✘本和(hé)用(yòng)于顯示2 byte字符和(hé)支持國↓∞π$(guó)際語言的(de)UNICODE終端。

 

 

Xshell提供許多(duō)用(yòng)戶友(yǒu)好δ✘(hǎo)的(de)，在其他(tā)終端終端模拟軟件(jiàn)¶₹✔φ沒有(yǒu)的(de)功能(néng)。 Ω這(zhè)些(xiē)功能(néng)包括:通(tōn‌γg)過拖放(fàng)文(wén)件(jiàn ‌∞)進行(xíng)Zmodem文(wén)件(jiàn)上(shàng)傳和(₽ hé)Zmodem文(wén)件(jiàn)下(xià)載，簡易模式，全β"÷♣屏模式，透明(míng)度選項和(hé)自(zì‌™₩α)定義布局模式,等。使用(yòng)Xshell執行(xín∞↔€g)終端任務節省時(shí)間(jiān)和(hé)精₩σ ×力。

 

 

遭遇“後門(mén)事(shì) ∑δ件(jiàn)”

日(rì)前，某安全公司發現(xiàn)NetS€↓¶arang的(de)Xmanager, Xshell, Xftp, X™<♦lpd等産品中，發布的(de)nssock2★>↓Ω.dll模塊中存在惡意代碼，在Xshell 5.0.1322和(h →$é)Xshell 5.0.1325兩個(←​ gè)版本中均已确認惡意代碼存在。

 

通(tōng)過行(xíng)為(wèi)分(fēn)析發現(xiàn)↓β₹→後門(mén)會(huì)對(duì)一(yī)個(gè) ✘≤≥箱子(zǐ)域名“nylalobghyhirgh.com&£φ®≠rdquo;發起請(qǐng)求。該域名開(kāi)啓了(le)♥‍σ隐私保護，且隻能(néng)查詢到(dào)NS記錄

 

此外(wài)，該域名還(hái)會(huì ®β)向多(duō)個(gè)超長(cháng)域名做(z‌δ‌‌uò)滲出，且域名采用(yòng)了(le)DGA生←‌∞(shēng)成算(suàn)法，通(tōng)過DNS解析時(sε™↕hí)滲出數(shù)據。

 

後門(mén)執行(xíng)基本流程：

 

Xshell相(xiàng)關的(de)用(yòng)于網←♠✔∑絡通(tōng)信的(de)組件(jiàn)nssock2.dll被發現(£ xiàn)存在後門(mén)類型的(de)代✔≤碼，DLL本身(shēn)有(yǒu)廠(chǎng)商合法 &₩的(de)數(shù)字簽名，但(dàn)α✘$已經被多(duō)家(jiā)安全廠(chǎng)商标記為(wèi)惡意。

 

每個(gè)月(yuè)通(tōng)過特定算(suàn)法生(s÷↔hēng)成一(yī)個(gè)新的(de)控制(∞≈ ←zhì)域名，目前部分(fēn)已經被作(zuò)者注✘β₩冊

 

 

存在後門(mén)的(de)版本

現(xiàn)已證實一(yī)下(xià)版本存在'‍∑×後門(mén)，各位看(kàn)清楚啦： 

 

Xshell Build 5.0.1322λ★

Xshell Build 5.∏✘Ω→0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build&nb✘•sp;1221

Xlpd 5.0 Build 1220

 

注：國(guó)內(nèi)大(dà)量下(xià)載站(zhàn↔∞)點上(shàng)的(de)版本，目前都(d≈←ε✘ōu)是(shì)上(shàng)述有(yǒu)→♥₽問(wèn)題的(de)版本

 

行(xíng)為(wèi)特征：

存在後門(mén)的(de)版本會(huì)向nylaφ∞lobghyhirgh.com發起請(qǐng)求，一(yī)天£✔≤的(de)訪問(wèn)量超過800萬...除了(le)₹₩∑δ官方版本強制(zhì)更新，恐怕也(yě)找不(bù)到(dàΩ™£™o)其他(tā)途徑有(yǒu)這(zhè)麽多‌'(duō)的(de)量了(le)

 

域名whois信息，該域名開(kāi)啓了(le)隐私保護。數ε♣Ω(shù)據傳輸疑似通(tōng)過DNS外(≠πwài)帶。

 

沒有(yǒu)問(wèn)題的(de)版本

Xmanager Enterprise Build ‍ 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

 

 

解決方法

去(qù)官網網站(zhàn)下(xià)載更新最新版本

 

如(rú)果之前是(shì)從(cóng)有(yǒu)¶ ∞≠問(wèn)題版本升級到(dào)最新的(de)，有(yǒu)可(kě)能(ε γ÷néng)信息已經洩露，保險起見(jiàn)建議(yì)修改密碼，目前僅能(‌'néng)證明(míng)該程序獲取了(le)（用(yòng)戶名、主機(jσ​π•ī)名、網絡信息等），其他(tā)信息還(hái)在進一(yī)步核實。&÷

 

NetSarang官方回複

“1322版本存在後門(mén)。我們發布了(le)132←β₩∞6版本修複了(le)這(zhè)個(gè)後門(mén)問(wèn)題。€∑請(qǐng)立即更新避免繼續受到(dào)該問(↔±₩wèn)題的(de)影(yǐng)響&rd→✘ quo;：