Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。 Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。 目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日. 日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:
官方公告: 值得一提的是1326的升级提示很有意思: 提示修复了 nssock2.dll 修复了一个远程漏洞(66666...Orz)
简要分析 360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。 该域名开启了隐私保护,且只能查询到NS记录:
数据来源360CERT 此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。 部分生成域名如下:
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册 2017-06 vwrcbohspufip.com 2017-07 ribotqtonut.com 2017-08 nylalobghyhirgh.com 2017-09 jkvmdmjyfcvkf.com 2017-10 bafyvoruzgjitwr.com 2017-11 xmponmzmxkxkh.com 2017-12 tczafklirkl.com 存在后门版本(已验证) Xshell Build 5.0.1322 Xshell Build 5.0.1325 Xmanager Enterprise 5.0 Build 1232 Xmanager 5.0 Build 1045 Xftp 5.0 Build 1218 Xftp 5.0 Build 1221 Xlpd 5.0 Build 1220 PS:国内大量下载站,目前都是上述有问题的版本 行为特征 存在后门的版本会向nylalobghyhirgh.com发起请求,一天的访问量超过800万...除了官方版本强制更新,恐怕也找不到其他途径有这么多的量了。。。
数据来源360网络安全研究院 域名whois信息,该域名开启了隐私保护。
数据来源360网络安全研究院 数据传输疑似通过DNS外带
数据来源360网络安全研究院 没有问题的版本 Xmanager Enterprise Build 1236 Xmanager Build 1049 Xshell Build 1326 Xftp Build 1222 Xlpd Build 1224 https://download.netsarang.com(primary) https://download.netsarang.co.kr 解决办法
参考来源 360网络安全研究院 360天眼实验室 360追日团队 360网络安全响应中心:https://cert.360.cn/warning/detail?id=07450801f090579304c01e9338cb0ffb |
解决 Wn10无法连接 蓝牙耳
Python之Selenium知识总结
2万字带你了解Selenium全攻
解决网站网页不能复制,不
我对ddos攻击的见解以及ufo
