Xshell多版本存在后门，或上传用户服务器账号密码

重大事件，知名终端模拟软件 Xshell 多版本存在后门，或上传用户服务器账号密码。

日前，360CERT 获悉某安全公司发现 NetSarang 的 Xmanager, Xshell, Xftp, Xlpd 等产品中，发布的 nssock2.dll 模块中存在恶意代码，在 Xshell 5.0.1322 和 Xshell 5.0.1325 两个版本中均已确认恶意代码存在：

官方公告

值得一提的是 1326 的升级提示很有意思： 提示修复了 nssock2.dll 的一个远程漏洞。

简要分析

360CERT 通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

该域名开启了隐私保护，且只能查询到 NS 记录：

数据来源360CERT

此外，该域名还会向多个超长域名做渗出，且域名采用了 DGA 生成算法，通过 DNS 解析时渗出数据。

部分生成域名如下：

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

每个月通过特定算法生成一个新的控制域名，目前部分已经被作者注册

• 2017-06    vwrcbohspufip.com

• 2017-07    ribotqtonut.com

• 2017-08    nylalobghyhirgh.com

• 2017-09    jkvmdmjyfcvkf.com

• 2017-10    bafyvoruzgjitwr.com

• 2017-11    xmponmzmxkxkh.com

• 2017-12    tczafklirkl.com

存在后门版本（已验证）

• Xshell Build 5.0.1322

• Xshell Build 5.0.1325

• Xmanager Enterprise 5.0 Build 1232

• Xmanager 5.0 Build 1045

• Xftp 5.0 Build 1218

• Xftp 5.0 Build 1221

• Xlpd 5.0 Build 1220

PS：国内大量下载站，目前都是上述有问题的版本。

行为特征

存在后门的版本会向 nylalobghyhirgh.com 发起请求，一天的访问量超过 800 万，除了官方版本强制更新，恐怕也找不到其他途径有这么多的量了。

数据来源：360网络安全研究院

域名 whois 信息，该域名开启了隐私保护。

数据来源：360网络安全研究院

数据传输疑似通过 DNS 外带

数据来源：360网络安全研究院

没有问题的版本

• Xmanager Enterprise Build 1236

• Xmanager Build 1049

• Xshell Build 1326

• Xftp Build 1222

• Xlpd Build 1224
  

https://download.netsarang.com

解决办法

1. 去官方网站下载最新版本。最新 Builds 下载地址：https://www.netsarang.com/download/software.html

2. 如果之前是从有问题版本升级到最新的，有可能信息已经泄露，保险起见建议修改密码，目前仅能证明该程序获取了（用户名、主机名、网络信息等），其他信息还在进一步核实。

目前 Xshell 最高版本为 Xshell 5 Build 1326，该版本更新于 2017 年 8 月 5 日。

简介

Xshell 是一款强大、著名的终端模拟软件，被广泛的用于服务器运维和管理，Xshell 支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能，其中包括：标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。

Xshell 提供许多用户友好的，在其他终端终端模拟软件没有的功能。这些功能包括：通过拖放文件进行 Zmodem 文件上传，简单模式，全屏模式，透明度选项和自定义布局模式下载 Zmodem 文件。使用 Xshell 执行终端任务节省时间和精力。

参考来源

• 360网络安全研究院

• 360天眼实验室

• 360追日团队

• 360网络安全响应中心：https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb

来自：安全客