NetSarang是一家提供安全連線解決方案的公司，該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日釋出的軟體被發現有惡意後門程式碼，該惡意的後門程式碼存在於有合法簽名的nssock2.dll模組中。從後門程式碼的分析來看，該程式碼是由於攻擊者入侵的開發者的主機或者編譯系統並向原始碼中插入後門導致的。該後門程式碼可導致使用者遠端登入的資訊洩露，甚至可能遠端執行程式碼。

Virustotal線上檢測情況：

由分析結果可以知道，nssock2.dll已經被多家防毒軟體識別為惡意的程式，



相關地址：

https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
 


https://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection

受影響的版本

• Xshell Build 1322
• Xshell Build 1325
• Xmanager Enterprise Build 1232
• Xmanager Build 1045
• Xmanager Build 1048
• Xftp Build 1218
• Xftp Build 1221
• Xlpd Build 1220

不受影響的版本

• Xmanager Enterprise Build 1236
• Xmanager Build 1049
• Xshell Build 1326
• Xftp Build 1222
• Xlpd Build 1224

軟體下載情況

存在後門的軟體在國內的下載情況：

• Xmanager：

• Xshell：

技術分析

概述

NetSarang的主要軟體版本中發現nssock2.dll模組的官方原始碼中被植入惡意後門程式碼。據悉，是黑客滲透到了開發的機器，然後在程式碼中加入了惡意的程式碼到官方的原始碼中，以下為惡意程式碼分析。 參考：https://www.virustotal.com/#/user/jumze/comments

傳播與感染

使用者直接下載或軟體捆綁下載。

樣本分析

分析環境

系統	Windows 7, 32bit
使用工具	ProcessMonitor, Xuetr, Wireshark, OllyDBG, IDA, CuteFTP

TAC檢測結果： 圖 TAC檢測結果

主要功能

[1] 資訊竊取：獲取當前計算機名稱和當前使用者名稱稱； [2] 遠端控制：程式碼中已經實現，但由於伺服器不存活，導致資料無法解密執行； [3] 網路行為：IP: 8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、當前計算機設定的DNS伺服器地址; 向dns伺服器傳送dns包。 HOST: nylalobghyhirgh.com; 樣本將收集的資訊上傳到上述伺服器； 該惡意後門植入nssock2.dll模組的原始碼中，是一段被加密的shellcode。 這段shellcode被添加了一定量的花指令，刻意增加分析難度，去除花指令以後，可以發現其建立了一塊記憶體區，解密程式碼並執行 新程式碼段中，樣本建立了一個執行緒，之後就回到正常的程式流程中，使得使用者很難發現自己所使用的產品中存在後門。 線上程函式中，我們可以看到，樣本在不斷的獲取系統時間，根據系統時間的不同，計算出不同的域名。下圖為2017年9月生成的域名： 我們通過修改系統時間獲取到的域名情況如下：

時間	對應域名
2017-06	vwrcbohspufip.com
2017-07	ribotqtonut.com
2017-08	nylalobghyhirgh.com
2017-09	jkvmdmjyfcvkf.com
2017-10	bafyvoruzgjitwr.com
2017-11	xmponmzmxkxkh.com
2017-12	tczafklirkl.com

接著程式碼會獲取當前計算機的名稱和計算機使用者名稱資訊。 經過如下演算法加密後（輸入引數為a1,a2,a3,a4。a1=0，a3=0x2D（使用者資料的長度），a2=存放使用者資料的地址，a4=存放加密後的資料的地址）： 結果如下： 然後再將結果進行加密 得到最終加密結果並且傳送dns解析請求，將加密後的資料綴在域名前傳送給攻擊者： 通過此種方法進行傳送，具有極高的隱蔽性。 我們還發現，在程式碼執行的過程當中，仍存在一段加密程式碼，需要從伺服器端獲取金鑰來進行解密，當前情況下已無法進行解密。(金鑰儲存在a1，a2，呼叫時傳入的引數為a3，同樣是從伺服器獲取)

網路行為

嘗試對這幾個地址進行連線8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、當前環境下的DNS伺服器地址。 根據時間不同，連線域名也不同。 如果連線域名成功，則將蒐集到的資訊傳送出去，方式為通過DNS請求將資料重定向到攻擊者自己的域名伺服器。

啟動方式

使用者下載xshell並主動執行。

攻擊定位

通過對該樣本的網路行為進行簡單的跟蹤，發現報告中8月份的域名在whois中查詢到的資訊如下： 其他資訊被申請者隱藏。

防護方案

使用者自查

使用者可通過檢視nssock2.dll的版本來確定是否受此影響： 在軟體安裝目錄下找到nssock2.dll檔案，右鍵該檔案檢視屬性，如果版本號為5.0.0.26則存在後門程式碼：

官方解決方案

使用者可通過檢視的nssock2.dll的版本號的方法來確定是否使用含有後門的軟體版本，如果使用者正在使用以上受影響的軟體版本，請升級到最新版本。官方在最新的軟體版本中已經移除了該後門程式碼，最新的軟體版本分別為：

• Xmanager Enterprise Build 1236
• Xmanager Build 1049,
• Xshell Build 1326
• Xftp Build 1222
• Xlpd Build 1224.

官方下載地址如下： https://www.netsarang.com/download/software.html

技術防護方案

產品類

• 如果您不清楚是否受此漏洞影響：

1、內網資產可以使用綠盟科技的遠端安全評估系統(RSASV6)進行檢測。 遠端安全評估系統（RSAS V6） http://update.nsfocus.com/update/listRsas 2、綠盟威脅分析系統(TAC)可以進行檢測。 http://update.nsfocus.com/update/listTac 通過上述連結，升級至最新版本即可進行檢測！

• 使用綠盟科技防護類產品（IPS/IDS/NF）進行防護：

入侵防護系統（IPS） http://update.nsfocus.com/update/listIps 入侵檢測系統（IDS） http://update.nsfocus.com/update/listIds 下一代防火牆系統（NF） http://update.nsfocus.com/update/listNf 通過上述連結，升級至最新版本即可進行防護！

服務類

綠盟科技提供專業的安全技術服務，全方位的保障客戶應用系統安全，避免受此漏洞影響。

• 短期服務：我們可以提供應急服務，服務內容包括對客戶應用系統有針對性的提供修復建議，保障客戶系統的安全升級。
• 中長期服務：結合綠盟科技檢測與防護產品，提供7*24的安全運營服務，在客戶應用系統遭到安全威脅時第一時間通知客戶，並定期進行安全檢測，針對安全風險提供專業的解決方案。

聲 明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權宣告等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用於商業目的。

關於綠盟科技

北京神州綠盟資訊保安科技股份有限公司（簡稱綠盟科技）成立於2000年4月，總部位於北京。在國內外設有30多個分支機構，為政府、運營商、金融、能源、網際網路以及教育、醫療等行業使用者，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的安全順暢執行。 基於多年的安全攻防研究，綠盟科技在網路及終端安全、網際網路基礎安全、合規及安全管理等領域，為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。 北京神州綠盟資訊保安科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易，股票簡稱：綠盟科技，股票程式碼：300369。 如果您需要了解更多內容，可以 加入QQ群：570982169 直接詢問：010-68438880

檢視原文：http://blog.nsfocus.net/nssock2-dll-module-malicious-code-analysis-report/