“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

2017 年 8 月 15 日 云栖社区 阿里云安全

摘要：NetSarang是一家国外以提供安全连接解决方案的公司，其产品以Xmanager Enterprise, Xmanager, Xshell,Xftp, Xlpd远程连接管理客户端软件，一般应用于IT运维技术人员进行远程运维管理。

近日，国内安全公司发现官方发布的软件版本中，nssock2.dll模块源码被植入后门，阿里云应急响应团队获取情报后，立即启动应急响应分析。通过技术分析，该后门会上传敏感数据到服务端。由于使用该软件的开发、运维等技术人员较多，存在较高的安全风险。

一. 受影响版本

根据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html)显示，受影响版本主要包括:

Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220

二. 安全风险判断

根据对被植入的后门代码分析结果判断，一旦用户使用了受影响版本，将会上传用户、机器、网络相关信息到远端服务器，从而导致敏感信息泄露，存在较为严重的安全风险。

阿里云安全团队提醒用户关注并启动自查处理，具体处理方式参见第五章节“安全建议”部分。

三. 技术原理分析

阿里云安全团队与2017年8月14日 12:36分拿到后门样本，并进行了深入的技术原理分析。

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码，DLL本身有厂商合法的数据签名。

图 1nssock2.dll文件数字签名信息

图 2nssock2.dll文件详细信息

图 3VT检测结果信息

图 4赛门铁克防病毒软件检测结果

通过补丁对比，发现官方最新的nssock2.dll移除了以下几个函数，所以后门代码应该就存在于这几个函数中

图 5对比函数

进一步分析这几个函数，主要功能是申请内存，解密一段”特殊代码”（暂定为mal_code），然后再执行该代码，这种行为通常是后门用来执行shellcode。

图 6解密函数代码片段

上图中的mal_code（恶意代码）以加密的形式存在于nssock2.dll中，如下图:

图 7恶意代码片段

mal_code（恶意代码）解密后会以线程的方式运行，通过调用GetSystemTime函数，获取当前时间，采用DGA生成算法，生成C2域名。

图 8恶意代码使用的DGA算法

该域名whois信息：

图 9 域名whois信息

截止到分析时间，该域名已经无法解析：

图 10 域名解析信息

通过以上算法，还原后的2017年全年的DGA域名为：

2017年1月域名:tgpupqtylejgb.com
2017年2月域名:psdghsbujex.com
2017年3月域名:lenszqjmdilgdoz.com
2017年4月域名:huxerorebmzir.com
2017年5月域名:dghqjqzavqn.com
2017年6月域名:vwrcbohspufip.com
2017年7月域名:ribotqtonut.com
2017年8月域名:nylalobghyhirgh.com（**本次远程C2域名**）
2017年9月域名:jkvmdmjyfcvkf.com
2017年10月域名:bafyvoruzgjitwr.com
2017年11月域名:xmponmzmxkxkh.com
2017年12月域名:tczafklirkl.com

随后，该样本会采集用户、机器的相关信息。