近日,知名终端模拟软件 Xshell 被爆出多版本存在后门,恶意攻击者利用该后门可窃取用户服务器账号密码等信息,进一步可致使整个服务器被攻击。国内信息安全在线教育知名平台i春秋已经进行紧急响应,于8月18日发布真实实验场景,为大众复现了此次事件的实验环境,可以指引用户有效的发现后门并进行应急响应。
Xshell是一款十分强大的免费终端模拟软件,它支持SSH、SFTP、TELNET、RLOGIN和SERIAL等功能,被广泛地用于服务器运维和管理。服务器可用作提供网页服务、邮件服务、文件共享服务、打印共享服务、数据库服务等,应用范围非常广阔,是网络服务最重要的部分之一。
Xshell开发公司NetSarang近日发布公告称,2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。在软件的开发阶段,程序员常常会在软件内创建后门程序,以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或者在发布软件之前没有被删除后门程序,容易被不法分子当成漏洞进行攻击,用户们的服务器会面临严重的威胁。此次黑客似乎入侵了Xshell相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。根据本次威胁的严重程度和影响访问,在应急响应事件上可定级为II级(即重大网络与信息安全事件)。
i春秋实验部安全研究员指出,Xshell中用于网络通信的动态链接库是nssock2.dll,就是它被发现存在有后门类型的代码,dll本身有厂商合法的数据签名,这样众多依据白名单机制的杀毒软件并没有报毒,因此,面对Xshell的后门,应急响应的关键再于优先阻止隐私数据的进一步泄露,再处理掉本地后门。
本次受影响的版本:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
目前最新版本为Xshell 5 Build 1326,官方已经修复了该问题。如运维人员使用了受影响版本,i春秋实验部建议可使用以下方法应急响应:
1. 查询DNS访问日志(ipconfig/displaydns),确认主机是否已通过后门发送敏感信息;
2. 使用上网行为管理设备屏蔽与此域名通讯,隔绝后续信息的再传递;
3. 卸载相关受影响版本Xshell,升级至最新官方版本;
4. 修改服务器账号密码,避免已泄露数据带来二次破坏。
i春秋学院实验部已经在第一时间对这次爆出的后门进行了分析,并开展了真实场景的复现工作,现已将完整有效的自检、处理措施和实验场景制作成简明易懂的教学视频发布在i春秋官方网站。
据悉,nssock2.dll会根据系统时间不同,而生成不同的请求连接,i春秋发布的教学课程中还列举了接下来一年中,DGA算法生成的域名,屏蔽掉这些域名可以阻断数据的泄露,再及时升级版本,就可以进行较为彻底的防治。
每一次网络安全威胁事件爆发后,i春秋团队都会不舍昼夜,第一时间应急响应,复现真实实验场景。我们深知只有了解危险,才能预防威胁,上线两年来,程序员、运维人员已经习惯了在i春秋自主学习、汲取能量、把知识转化为实际能力。未来,i春秋将继续以“培育信息时代的安全感”为使命,为大众打造更精美的课程,为守护公众互联网安全做出贡献。
视频地址:https://www.ichunqiu.com/course/58941