近年來,各類網絡安全事件頻發,從數據泄露到惡意攻擊,無不牽動著每一位網絡用戶的神經
其中,Xshell后門事件以其影響范圍之廣、技術手段之隱秘,成為了網絡安全領域的一次重大事件
綠盟科技作為網絡安全領域的領軍企業,對此事件進行了深入剖析,并在此分享我們的見解與防范建議
一、Xshell后門事件概述 Xshell是一款在全球廣泛使用的服務器遠程管理軟件,因其便捷性和高效性,深受程序員和運維開發人員的青睞
然而,在2017年,Xshell軟件被曝出存在嚴重的安全漏洞,其關鍵網絡通信組件nssock2.dll被植入了惡意代碼,形成了名為“XshellGhost”的后門
這一事件迅速引起了業界的廣泛關注,并對眾多用戶的信息安全構成了嚴重威脅
據360科技集團追日團隊的調查分析,NetSarang旗下的Xmanager、Xshell、Xftp和Xlpd等多款軟件均受到了影響
這些軟件的關鍵模塊被植入了高級后門,攻擊者可以通過這些后門竊取用戶信息、遠程控制服務器,甚至進一步入侵用戶相關的服務器資產
由于這些軟件在國內的程序員和運維開發人員中被廣泛使用,多用于管理企事業單位的重要服務器資產,因此此次事件的影響范圍極為廣泛
二、Xshell后門的技術原理 XshellGhost后門是一個精密的定向攻擊平臺,其所有的功能模塊均以shellcode形式實現
攻擊者通過感染供應鏈軟件和各個shellcode模塊,實現了無自啟動項、無落地文件和多種通信協議的遠程控制
后門潛伏于受害者電腦中,等待黑客在云控制平臺下發shellcode數據執行
具體來說,XshellGhost的遠程控制主要分為以下五個步驟: 1.軟件啟動加載被感染組件:當用戶啟動Xshell等軟件時,會加載被感染的nssock2.dll組件,并解密執行shellcode1
2.Shellcode1解密并執行Shellcode2:Shellcode1負責解密并執行Shellcode2,Shellcode2則執行以下功能: - 創建注冊表項,上報數據到每月對應的DGA域名; - 通過發往知名的域名解析器上傳用戶信息給攻擊者; - 將接收的數據寫入到創建的注冊表項中; - 通過獲取的key1和key2解密并執行Shellcode3
3.Shellcode3執行并注入Root模塊:Shellcode3會創建日志文件并寫入信息,啟動系統進程Svchost.exe,修改其oep處的代碼,并注入shellcode形式的Root模塊執行
4.Root模塊初始化:Root模塊的初始化過程中,會加載并初始化Plugins、Config、Install、Online和DNS等功能模塊,然后調用函數Install->InstallByCfg以獲取配置信息,監控注冊表并創建全局互斥體,調用Online->InitNet
5.函數Online->InitNet
