安全研究

研究报告
NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager Xmanager 3D Xshell Xftp和Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露,甚至可能远程执行代码。

 

Virustotal在线检测情况:

   由分析结果可以知道,nssock2.dll已经被多家杀毒软件识别为恶意的程序。


    

相关地址:

 https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

 https://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection

 

受影响的版本

· Xshell Build 1322

· Xshell Build 1325

· Xmanager Enterprise Build 1232

· Xmanager Build 1045

· Xmanager Build 1048

· Xftp Build 1218

· Xftp Build 1221

· Xlpd Build 1220

不受影响的版本

· Xmanager Enterprise Build 1236

· Xmanager Build 1049

· Xshell Build 1326

· Xftp Build 1222

· Xlpd Build 1224


软件下载情况

存在后门的软件在国内的下载情况:

· Xmanager:



· Xshell:


 


技术分析

概述

NetSarang的主要软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码。据悉,是黑客渗透到了开发的机器,然后在代码中加入了恶意的代码到官方的源代码中,以下为恶意代码分析。

参考:https://www.virustotal.com/#/user/jumze/comments


传播与感染

用户直接下载或软件捆绑下载。

样本分析

分析环境

系统

Windows 7 32bit

使用工具

ProcessMonitor Xuetr Wireshark OllyDBG IDA CuteFTP



TAC检测结果:

图 TAC检测结果

主要功能

[1]信息窃取:获取当前计算机名称和当前用户名称;

[2]远程控制:代码中已经实现,但由于服务器不存活,导致数据无法解密执行;

[3]网络行为:IP:8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前计算机设置的DNS服务器地址; 向dns服务器发送dns包。

HOST: nylalobghyhirgh.com; 样本将收集的信息上传到上述服务器;


 


该恶意后门植入nssock2.dll模块的源码中,是一段被加密的shellcode。




这段shellcode被添加了一定量的花指令,刻意增加分析难度,去除花指令以后,可以发现其创建了一块内存区,解密代码并执行。




新代码段中,样本创建了一个线程,之后就回到正常的程序流程中,使得用户很难发现自己所使用的产品中存在后门。




在线程函数中,我们可以看到,样本在不断的获取系统时间,根据系统时间的不同,计算出不同的域名。下图为2017年9月生成的域名:



我们通过修改系统时间获取到的域名情况如下:


时间

对应域名

2017-06

vwrcbohspufip.com

2017-07

ribotqtonut.com

2017-08

nylalobghyhirgh.com

2017-09

jkvmdmjyfcvkf.com

2017-10

bafyvoruzgjitwr.com

2017-11

xmponmzmxkxkh.com

2017-12

tczafklirkl.com


接着代码会获取当前计算机的名称和计算机用户名信息。



经过如下算法加密后(输入参数为a1a2a3a4。a1=0,a3=0x2D(用户数据的长度),a2=存放用户数据的地址,a4=存放加密后的数据的地址):



结果如下:



然后再将结果进行加密



得到最终加密结果并且发送dns解析请求,将加密后的数据缀在域名前发送给攻击者:



通过此种方法进行发送,具有极高的隐蔽性。

我们还发现,在代码执行的过程当中,仍存在一段加密代码,需要从服务器端获取密钥来进行解密,当前情况下已无法进行解密。(密钥存储在a1,a2,调用时传入的参数为a3,同样是从服务器获取)


网络行为

尝试对这几个地址进行连接8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前环境下的DNS服务器地址。

根据时间不同,连接域名也不同。

如果连接域名成功,则将搜集到的信息发送出去,方式为通过DNS请求将数据重定向到攻击者自己的域名服务器。


启动方式

用户下载xshell并主动运行。


攻击定位

通过对该样本的网络行为进行简单的跟踪,发现报告中8月份的域名在whois中查询到的信息如下:




其他信息被申请者隐藏。


防护方案

用户自查

用户可通过查看nssock2.dll的版本来确定是否受此影响:

在软件安装目录下找到nssock2.dll文件,右键该文件查看属性,如果版本号为5.0.0.26则存在后门代码:



官方解决方案

用户可通过查看的nssock2.dll的版本号的方法来确定是否使用含有后门的软件版本,如果用户正在使用以上受影响的软件版本,请升级到最新版本。官方在最新的软件版本中已经移除了该后门代码,最新的软件版本分别为:

· Xmanager Enterprise Build 1236

· Xmanager Build 1049

· Xshell Build 1326

· Xftp Build 1222

· Xlpd Build 1224.

官方下载地址如下:

https://www.netsarang.com/download/software.html


技术防护方案

产品类

▶  如果您不清楚是否受此漏洞影响:

1、内网资产可以使用绿盟科技的远程安全评估系统(RSASV6)进行检测。

远程安全评估系统(RSAS V6) 

http://update.nsfocus.com/update/listRsas

2、绿盟威胁分析系统(TAC)可以进行检测。

http://update.nsfocus.com/update/listTac

通过上述链接,升级至最新版本即可进行检测!

▶  使用绿盟科技防护类产品(IPS/IDS/NF)进行防护:

入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

下一代防火墙系统(NF)

http://update.nsfocus.com/update/listNf

通过上述链接,升级至最新版本即可进行防护!


服务类

绿盟科技提供专业的安全技术服务,全方位的保障客户应用系统安全,避免受此漏洞影响。

▶  短期服务:我们可以提供应急服务,服务内容包括对客户应用系统有针对性的提供修复建议,保障客户系统的安全升级。

▶  中长期服务:结合绿盟科技检测与防护产品,提供7*24的安全运营服务,在客户应用系统遭到安全威胁时第一时间通知客户,并定期进行安全检测,针对安全风险提供专业的解决方案。


浏览次数:

关 闭