bbin宝盈集团

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务 bbin宝盈集团主机卫士系统 HGS bbin宝盈集团数据安全交换系统 DES bbin宝盈集团视频安全交换系统 VES bbin宝盈集团安全隔离与信息单向导入系统 SUCS bbin宝盈集团工控安全审计系统 SAS-ICS bbin宝盈集团工业安全隔离装置 ISID bbin宝盈集团工控安全入侵检测系统 IDS-ICS bbin宝盈集团工控漏洞扫描系统 ICSScan bbin宝盈集团工业网络安全监测管理平台 NSFOCUS INSP bbin宝盈集团工业防火墙 ISG bbin宝盈集团工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营 bbin宝盈集团云 bbin宝盈集团云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

2017-08-15

发布者：bbin宝盈集团科技

NetSarang是一家提供安全连接解决方案的公司，该公司的产品主要包括Xmanager Xmanager 3D Xshell Xftp和Xlpd。最近，官方在2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露，甚至可能远程执行代码。

Virustotal在线检测情况：

由分析结果可以知道，nssock2.dll已经被多家杀毒软件识别为恶意的程序。

相关地址：

http://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

http://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection

受影响的版本

· Xshell Build 1322

· Xshell Build 1325

· Xmanager Enterprise Build 1232

· Xmanager Build 1045

· Xmanager Build 1048

· Xftp Build 1218

· Xftp Build 1221

· Xlpd Build 1220

不受影响的版本

· Xmanager Enterprise Build 1236

· Xmanager Build 1049

· Xshell Build 1326

· Xftp Build 1222

· Xlpd Build 1224

软件下载情况

存在后门的软件在国内的下载情况：

· Xmanager：

· Xshell：

技术分析

概述

NetSarang的主要软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码。据悉，是黑客渗透到了开发的机器，然后在代码中加入了恶意的代码到官方的源代码中，以下为恶意代码分析。

参考：http://www.virustotal.com/#/user/jumze/comments

传播与感染

用户直接下载或软件捆绑下载。

样本分析

分析环境

系统	Windows 7 32bit
使用工具	ProcessMonitor Xuetr Wireshark OllyDBG IDA CuteFTP

TAC检测结果：

图 TAC检测结果

主要功能

[1]信息窃取：获取当前计算机名称和当前用户名称；

[2]远程控制：代码中已经实现，但由于服务器不存活，导致数据无法解密执行；

[3]网络行为：IP:8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前计算机设置的DNS服务器地址; 向dns服务器发送dns包。

HOST: nylalobghyhirgh.com; 样本将收集的信息上传到上述服务器；

该恶意后门植入nssock2.dll模块的源码中，是一段被加密的shellcode。

这段shellcode被添加了一定量的花指令，刻意增加分析难度，去除花指令以后，可以发现其创建了一块内存区，解密代码并执行。

新代码段中，样本创建了一个线程，之后就回到正常的程序流程中，使得用户很难发现自己所使用的产品中存在后门。

在线程函数中，我们可以看到，样本在不断的获取系统时间，根据系统时间的不同，计算出不同的域名。下图为2017年9月生成的域名：

我们通过修改系统时间获取到的域名情况如下：

时间	对应域名
2017-06	vwrcbohspufip.com
2017-07	ribotqtonut.com
2017-08	nylalobghyhirgh.com
2017-09	jkvmdmjyfcvkf.com
2017-10	bafyvoruzgjitwr.com
2017-11	xmponmzmxkxkh.com
2017-12	tczafklirkl.com

接着代码会获取当前计算机的名称和计算机用户名信息。

经过如下算法加密后（输入参数为a1a2a3a4。a1=0，a3=0x2D（用户数据的长度），a2=存放用户数据的地址，a4=存放加密后的数据的地址）：

结果如下：

然后再将结果进行加密

得到最终加密结果并且发送dns解析请求，将加密后的数据缀在域名前发送给攻击者：

通过此种方法进行发送，具有极高的隐蔽性。

我们还发现，在代码执行的过程当中，仍存在一段加密代码，需要从服务器端获取密钥来进行解密，当前情况下已无法进行解密。(密钥存储在a1，a2，调用时传入的参数为a3，同样是从服务器获取)

网络行为

尝试对这几个地址进行连接8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、当前环境下的DNS服务器地址。

根据时间不同，连接域名也不同。

如果连接域名成功，则将搜集到的信息发送出去，方式为通过DNS请求将数据重定向到攻击者自己的域名服务器。

启动方式

用户下载xshell并主动运行。

攻击定位

通过对该样本的网络行为进行简单的跟踪，发现报告中8月份的域名在whois中查询到的信息如下：

其他信息被申请者隐藏。

防护方案

用户自查

用户可通过查看nssock2.dll的版本来确定是否受此影响：

在软件安装目录下找到nssock2.dll文件，右键该文件查看属性，如果版本号为5.0.0.26则存在后门代码：

官方解决方案

用户可通过查看的nssock2.dll的版本号的方法来确定是否使用含有后门的软件版本，如果用户正在使用以上受影响的软件版本，请升级到最新版本。官方在最新的软件版本中已经移除了该后门代码，最新的软件版本分别为：

· Xmanager Enterprise Build 1236

· Xmanager Build 1049

· Xshell Build 1326

· Xftp Build 1222

· Xlpd Build 1224.

官方下载地址如下：

http://www.netsarang.com/download/software.html

技术防护方案

产品类

▶ 如果您不清楚是否受此漏洞影响：

1、内网资产可以使用bbin宝盈集团科技的远程安全评估系统(RSASV6)进行检测。

远程安全评估系统（RSAS V6）

http://update.nsfocus.com/update/listRsas

2、bbin宝盈集团威胁分析系统(TAC)可以进行检测。

http://update.nsfocus.com/update/listTac

通过上述链接，升级至最新版本即可进行检测！

▶ 使用bbin宝盈集团科技防护类产品（IPS/IDS/NF）进行防护：

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

下一代防火墙系统（NF）

http://update.nsfocus.com/update/listNf

通过上述链接，升级至最新版本即可进行防护！

服务类

bbin宝盈集团科技提供专业的安全技术服务，全方位的保障客户应用系统安全，避免受此漏洞影响。

▶ 短期服务：我们可以提供应急服务，服务内容包括对客户应用系统有针对性的提供修复建议，保障客户系统的安全升级。

▶ 中长期服务：结合bbin宝盈集团科技检测与防护产品，提供7*24的安全运营服务，在客户应用系统遭到安全威胁时第一时间通知客户，并定期进行安全检测，针对安全风险提供专业的解决方案。

✕

您的信息

<<上一篇

乌克兰国家银行攻击样本技术分析与检测防护方案

>>下一篇

bbin宝盈集团科技2017上半年DDoS与Web应用攻击态势报告

✕

您的联系方式

购买热线

提交项目需求

欢迎加入bbin宝盈集团科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

bbin宝盈集团科技社区

bbin宝盈集团科技社区

资料下载|在线问答|技术交流

信息安全

官网地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; bbin宝盈集团书橱; bbin宝盈集团新闻; 工作机会

如何购买: 提交项目需求; 在线咨询; 请求回电; 购买热线

bbin宝盈集团: 公司总部; 分支机构; 全球分支机构

快速链接: bbin宝盈集团云; bbin宝盈集团威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS bbin宝盈集团科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号