當(dāng)前位置 主頁 > 技術(shù)大全 >
近年來,各類網(wǎng)絡(luò)安全事件頻發(fā),從數(shù)據(jù)泄露到惡意攻擊,無不牽動著每一位網(wǎng)絡(luò)用戶的神經(jīng)
其中,Xshell后門事件以其影響范圍之廣、技術(shù)手段之隱秘,成為了網(wǎng)絡(luò)安全領(lǐng)域的一次重大事件
綠盟科技作為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè),對此事件進(jìn)行了深入剖析,并在此分享我們的見解與防范建議
一、Xshell后門事件概述 Xshell是一款在全球廣泛使用的服務(wù)器遠(yuǎn)程管理軟件,因其便捷性和高效性,深受程序員和運維開發(fā)人員的青睞
然而,在2017年,Xshell軟件被曝出存在嚴(yán)重的安全漏洞,其關(guān)鍵網(wǎng)絡(luò)通信組件nssock2.dll被植入了惡意代碼,形成了名為“XshellGhost”的后門
這一事件迅速引起了業(yè)界的廣泛關(guān)注,并對眾多用戶的信息安全構(gòu)成了嚴(yán)重威脅
據(jù)360科技集團(tuán)追日團(tuán)隊的調(diào)查分析,NetSarang旗下的Xmanager、Xshell、Xftp和Xlpd等多款軟件均受到了影響
這些軟件的關(guān)鍵模塊被植入了高級后門,攻擊者可以通過這些后門竊取用戶信息、遠(yuǎn)程控制服務(wù)器,甚至進(jìn)一步入侵用戶相關(guān)的服務(wù)器資產(chǎn)
由于這些軟件在國內(nèi)的程序員和運維開發(fā)人員中被廣泛使用,多用于管理企事業(yè)單位的重要服務(wù)器資產(chǎn),因此此次事件的影響范圍極為廣泛
二、Xshell后門的技術(shù)原理 XshellGhost后門是一個精密的定向攻擊平臺,其所有的功能模塊均以shellcode形式實現(xiàn)
攻擊者通過感染供應(yīng)鏈軟件和各個shellcode模塊,實現(xiàn)了無自啟動項、無落地文件和多種通信協(xié)議的遠(yuǎn)程控制
后門潛伏于受害者電腦中,等待黑客在云控制平臺下發(fā)shellcode數(shù)據(jù)執(zhí)行
具體來說,XshellGhost的遠(yuǎn)程控制主要分為以下五個步驟: 1.軟件啟動加載被感染組件:當(dāng)用戶啟動Xshell等軟件時,會加載被感染的nssock2.dll組件,并解密執(zhí)行shellcode1
2.Shellcode1解密并執(zhí)行Shellcode2:Shellcode1負(fù)責(zé)解密并執(zhí)行Shellcode2,Shellcode2則執(zhí)行以下功能: - 創(chuàng)建注冊表項,上報數(shù)據(jù)到每月對應(yīng)的DGA域名; - 通過發(fā)往知名的域名解析器上傳用戶信息給攻擊者; - 將接收的數(shù)據(jù)寫入到創(chuàng)建的注冊表項中; - 通過獲取的key1和key2解密并執(zhí)行Shellcode3
3.Shellcode3執(zhí)行并注入Root模塊:Shellcode3會創(chuàng)建日志文件并寫入信息,啟動系統(tǒng)進(jìn)程Svchost.exe,修改其oep處的代碼,并注入shellcode形式的Root模塊執(zhí)行
4.Root模塊初始化:Root模塊的初始化過程中,會加載并初始化Plugins、Config、Install、Online和DNS等功能模塊,然后調(diào)用函數(shù)Install->InstallByCfg以獲取配置信息,監(jiān)控注冊表并創(chuàng)建全局互斥體,調(diào)用Online->InitNet
5.函數(shù)Online->InitNet
