當(dāng)前位置 主頁(yè) > 技術(shù)大全 >
近年來(lái),各類網(wǎng)絡(luò)安全事件頻發(fā),從數(shù)據(jù)泄露到惡意攻擊,無(wú)不牽動(dòng)著每一位網(wǎng)絡(luò)用戶的神經(jīng)
其中,Xshell后門事件以其影響范圍之廣、技術(shù)手段之隱秘,成為了網(wǎng)絡(luò)安全領(lǐng)域的一次重大事件
綠盟科技作為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè),對(duì)此事件進(jìn)行了深入剖析,并在此分享我們的見解與防范建議
一、Xshell后門事件概述 Xshell是一款在全球廣泛使用的服務(wù)器遠(yuǎn)程管理軟件,因其便捷性和高效性,深受程序員和運(yùn)維開發(fā)人員的青睞
然而,在2017年,Xshell軟件被曝出存在嚴(yán)重的安全漏洞,其關(guān)鍵網(wǎng)絡(luò)通信組件nssock2.dll被植入了惡意代碼,形成了名為“XshellGhost”的后門
這一事件迅速引起了業(yè)界的廣泛關(guān)注,并對(duì)眾多用戶的信息安全構(gòu)成了嚴(yán)重威脅
據(jù)360科技集團(tuán)追日?qǐng)F(tuán)隊(duì)的調(diào)查分析,NetSarang旗下的Xmanager、Xshell、Xftp和Xlpd等多款軟件均受到了影響
這些軟件的關(guān)鍵模塊被植入了高級(jí)后門,攻擊者可以通過(guò)這些后門竊取用戶信息、遠(yuǎn)程控制服務(wù)器,甚至進(jìn)一步入侵用戶相關(guān)的服務(wù)器資產(chǎn)
由于這些軟件在國(guó)內(nèi)的程序員和運(yùn)維開發(fā)人員中被廣泛使用,多用于管理企事業(yè)單位的重要服務(wù)器資產(chǎn),因此此次事件的影響范圍極為廣泛
二、Xshell后門的技術(shù)原理 XshellGhost后門是一個(gè)精密的定向攻擊平臺(tái),其所有的功能模塊均以shellcode形式實(shí)現(xiàn)
攻擊者通過(guò)感染供應(yīng)鏈軟件和各個(gè)shellcode模塊,實(shí)現(xiàn)了無(wú)自啟動(dòng)項(xiàng)、無(wú)落地文件和多種通信協(xié)議的遠(yuǎn)程控制
后門潛伏于受害者電腦中,等待黑客在云控制平臺(tái)下發(fā)shellcode數(shù)據(jù)執(zhí)行
具體來(lái)說(shuō),XshellGhost的遠(yuǎn)程控制主要分為以下五個(gè)步驟: 1.軟件啟動(dòng)加載被感染組件:當(dāng)用戶啟動(dòng)Xshell等軟件時(shí),會(huì)加載被感染的nssock2.dll組件,并解密執(zhí)行shellcode1
2.Shellcode1解密并執(zhí)行Shellcode2:Shellcode1負(fù)責(zé)解密并執(zhí)行Shellcode2,Shellcode2則執(zhí)行以下功能: - 創(chuàng)建注冊(cè)表項(xiàng),上報(bào)數(shù)據(jù)到每月對(duì)應(yīng)的DGA域名; - 通過(guò)發(fā)往知名的域名解析器上傳用戶信息給攻擊者; - 將接收的數(shù)據(jù)寫入到創(chuàng)建的注冊(cè)表項(xiàng)中; - 通過(guò)獲取的key1和key2解密并執(zhí)行Shellcode3
3.Shellcode3執(zhí)行并注入Root模塊:Shellcode3會(huì)創(chuàng)建日志文件并寫入信息,啟動(dòng)系統(tǒng)進(jìn)程Svchost.exe,修改其oep處的代碼,并注入shellcode形式的Root模塊執(zhí)行
4.Root模塊初始化:Root模塊的初始化過(guò)程中,會(huì)加載并初始化Plugins、Config、Install、Online和DNS等功能模塊,然后調(diào)用函數(shù)Install->InstallByCfg以獲取配置信息,監(jiān)控注冊(cè)表并創(chuàng)建全局互斥體,調(diào)用Online->InitNet
5.函數(shù)Online->InitNet
