近年来,各类网络安全事件频发,从数据泄露到恶意攻击,无不牵动着每一位网络用户的神经
其中,Xshell后门事件以其影响范围之广、技术手段之隐秘,成为了网络安全领域的一次重大事件
绿盟科技作为网络安全领域的领军企业,对此事件进行了深入剖析,并在此分享我们的见解与防范建议
一、Xshell后门事件概述 Xshell是一款在全球广泛使用的服务器远程管理软件,因其便捷性和高效性,深受程序员和运维开发人员的青睐
然而,在2017年,Xshell软件被曝出存在严重的安全漏洞,其关键网络通信组件nssock2.dll被植入了恶意代码,形成了名为“XshellGhost”的后门
这一事件迅速引起了业界的广泛关注,并对众多用户的信息安全构成了严重威胁
据360科技集团追日团队的调查分析,NetSarang旗下的Xmanager、Xshell、Xftp和Xlpd等多款软件均受到了影响
这些软件的关键模块被植入了高级后门,攻击者可以通过这些后门窃取用户信息、远程控制服务器,甚至进一步入侵用户相关的服务器资产
由于这些软件在国内的程序员和运维开发人员中被广泛使用,多用于管理企事业单位的重要服务器资产,因此此次事件的影响范围极为广泛
二、Xshell后门的技术原理 XshellGhost后门是一个精密的定向攻击平台,其所有的功能模块均以shellcode形式实现
攻击者通过感染供应链软件和各个shellcode模块,实现了无自启动项、无落地文件和多种通信协议的远程控制
后门潜伏于受害者电脑中,等待黑客在云控制平台下发shellcode数据执行
具体来说,XshellGhost的远程控制主要分为以下五个步骤: 1.软件启动加载被感染组件:当用户启动Xshell等软件时,会加载被感染的nssock2.dll组件,并解密执行shellcode1
2.Shellcode1解密并执行Shellcode2:Shellcode1负责解密并执行Shellcode2,Shellcode2则执行以下功能: - 创建注册表项,上报数据到每月对应的DGA域名; - 通过发往知名的域名解析器上传用户信息给攻击者; - 将接收的数据写入到创建的注册表项中; - 通过获取的key1和key2解密并执行Shellcode3
3.Shellcode3执行并注入Root模块:Shellcode3会创建日志文件并写入信息,启动系统进程Svchost.exe,修改其oep处的代码,并注入shellcode形式的Root模块执行
4.Root模块初始化:Root模块的初始化过程中,会加载并初始化Plugins、Config、Install、Online和DNS等功能模块,然后调用函数Install->InstallByCfg以获取配置信息,监控注册表并创建全局互斥体,调用Online->InitNet
5.函数Online->InitNet
