首页 > 安全 > 关键词  > Xshell最新资讯  > 正文

Xshell被植入后门代码,可能导致敏感信息泄露

2017-08-16 11:43 · 稿源: 极客网

近日,非常流行的远程终端Xshell被发现被植入了后门代码,用户如果使用了特洛伊化的Xshell工具版本可能导致所敏感信息被泄露到攻击者所控制的机器。

Xshell特别是Build1322 在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,我们强烈建议用户检查自己所使用的Xshell版本,如发现,建议采取必要的补救措施。

受影响系统

Xshell 5.0 Build 1322Xshell 5.0 Build 1325Xmanager Enterprise 5.0 Build 1232Xmanager 5.0 Build 1045Xftp 5.0 Build 1218Xlpd 5.0 Build 1220

技术细节

Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名,但已经被多家安全厂商标记为恶意:

360 威胁情报中心发现其存在加载执行Shellcode的功能:

调试发现Shellcode会收集主机信息,生成一个月一个的DGA域名并尝试做解析,其中一个域名为 nylalobghyhirgh.com, 360 威胁情报中心显示此域名为隐私保护状态:

此域名目前已观察到 7 月 23 日注册, 8 月 3 日达到解析量的顶峰,从 360 网络研究院的数据来看解析量非常巨大。所有的请求类型为NS记录,也就是说域名极有可能被用来析出数据而不是用于C&C控制。

影响

使用了木马化Xshell的用户极可能导致本机或相关所管理远程系统的敏感信息泄露。

解决方案

检查目前所使用的Xshell版本是否为受影响版本,如果组织保存有网络访问日志,检查所在网络是否存在对于下节IOC域名的解析记录,如发现,则有内网机器在使用存在后门的Xshell版本。目前厂商已经在Xshell Build1326 及以后的版本中处理了这个问题,请升级到最新版本,修改相关系统的用户名口令。

IOC

域名说明
vwrcbohspufip.com6 月DGA域名
ribotqtonut.com7 月DGA域名
nylalobghyhirgh.com8 月DGA域名
jkvmdmjyfcvkf.com9 月DGA域名
bafyvoruzgjitwr.com10 月DGA域名
文件HASH
97363d50a279492fda14cbab53429e75文件名nssock.dll

参考链接

https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

  • 相关推荐
  • 大家在看
  • 小心了:Win10/11激活软件KMSPico被黑客植入后门 盗窃数字钱包

    KMSPico是一款常用的激活软件,支持Win8到现在的Win10及Win11以及Office软件激活,很多人升级系统之后就用这个软件激活系统,不过现在要注意了,KMSPico已经被黑客污染。由于KMSPico太受欢迎,现在被黑客盯上了,植入了后门,他们利用网上各种所谓的KMSPico官网来推广这个恶意软件,一旦用户下载使用,就会中招。KMSPico窃取的还是用户的数字钱包,包括但不限于,Jaxx Liberty钱包,eCash钱包,Electrum钱包、Exodus钱包、门罗币官

  • 勒索软件暗藏后门 租用REvil服务或被“黑吃黑”

    REvil 是近年来最臭名昭著的勒索软件攻击团伙之一,此前已宣布对多起重大事件负责。与此同时,该组织还提供了“勒索软件即服务”,以通过租赁的方式、从其它恶意攻击者那里抽成。然而 Flashpoint 安全研究人员在对地下论坛展开一番分析后发现,REvil 还在恶意软件中植入了后门,最终或上演“黑吃黑”的剧情。(来自:Flashpoint)某位论坛用户对 REvil 的“市场策略”表示质疑,称其向受害者勒索 700 万美元的计划戛然而止,推测某

  • 运营、人才、数字化面面俱到 京东京车会致力于做汽后门店的靠谱合作伙伴

    这是一个汽车行业增速放缓的时代,却是汽后市场的黄金时代。在这片日渐火热的万亿级汪洋里正激荡着一个个的新机遇和新挑战。虽然自2018年起,中国乘用车市场结束了十多年的增量发展期,并连续三年负增长,不过中国已经实现了从数量急剧增长到汽车保有量跃居全球首位的转变,万亿级的汽后市场已经成型。根据《2020中国汽车后市场白皮书》报告显示,预计2025年,中国汽车后市场规模将达1.7万亿。规模快速扩张的同时,汽后市场也面临?

  • iOS开始审查用户照片 苹果为“后门”问题统一员工口径

    苹果一直标榜自家的手机及iOS系统在用户隐私上的牢不可破,甚至不惜跟美国政府打官司。不过现在苹果改了一个政策,iOS会审查用户的照片,以致于苹果都要开始为此统一员工口径。本月初,苹果宣布了一项新政策,将推出名为neuralMatch”的新技术,它会在图片上传到iCloud之前进行扫描。如果它找到了匹配的CSAM(儿童性虐待照片),将会通知审核人员检查。若确认存在儿童色情内容,那么苹果方面将关闭账户,并通知美国国家失踪和被剥?

  • 曝iOS 15将扫描用户相册!苹果回应:没有后门、仅美国提供

    一直以来,苹果就在隐私方面存在很大争议,其牢牢的将客户信息把握系统之中,虽然第三方难以获得,但是苹果自身却很容易窃取信息。近日,苹果就再次陷入了隐私问题之中,消息称苹果计划在iOS 15上引入一种先进的本地哈希算法,可以可识别排查设备内的儿童不雅照片,包括虐童、有色制品等。但是,这就引发了大家对隐私问题的担忧,毕竟如此一来用户的相册照片就会被上传至云端,被后台人员查看。经过舆论的不断发酵之后,苹果对此解

  • 苹果回应隐私争议:检测儿童色情图片不会留下后门

    凤凰网科技讯 北京时间8月7日消息,苹果公司计划推出的一项儿童安全功能引发了隐私担忧,该公司在周五辩护称,不相信这款在用户设备上查找儿童色情图片的工具会留下削弱隐私的后门。苹果重申,公司不会扫描机主的整个照片库来寻找虐童图片,而是使用密码学把图片与美国国家失踪与受虐儿童中心提供的已知数据库进行比对。苹果称,这套系统已经开发多年,并不是为了政府监控公民而设计。而且,这套系统只在美国提供,只有用户打开iCl

  • 三星承认可对电视远程锁死 网友质疑:这不就是后门

    今年初三星宣布,统计显示其电视出货连续15年全球称霸。而在今年上半年,三星电视出货2080万台同比增长11.9%,再度傲视全球。不出意外的话,它将连续16年守住宝座。不过,三星方面日前就南非抢劫事件所发出的声明却引发争议。三星消费电子南非负责人Mike Van Lier确认,其电视内置有名为TV Block程序模块,可以远程锁定电视。三星本想强调,通过TV Block,其可以对被盗取的电视远程锁定,一方面是保护合法购买者的利益,另一方面也

  • 全新SideWalk后门攻击针对美国电脑零售业务

    一家位于美国的电脑零售公司成为SideWalk攻击的目标,这种攻击以前从未被发现,是一个中国高级黑客组织最近开展的活动一部分,该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击,被认为与Winnti umbrella组织有关,并指出其与另一个被称为Crosswalk的后门相似,后者在2019年被同一黑客组织使用。SideWalk是一个模块化的后门,可以?

  • 拒绝后门:公开信呼吁苹果停止实施CSAM虐童图像检测系统

    在苹果周四宣布了基于本机 AI 处理的“儿童受虐材料”(简称 CSAM)特征图像检测系统之后,行业专家与隐私倡导机构已纷纷表达了担忧和反对意见。尽管苹果的初衷很是积极正面,但这项技术也有着两面性,乃至向别有用心者敞开一个难以被封堵的后门。最新消息是,业界多方已经向苹果送去了一封公开信,呼吁该公司停止实施计划中的 CSAM 系统。(来自:Apple Privacy Letter 网站)Apple Insider 指出,与其说是一封公开信,这份文件读

  • 后门”仍在:官方文档揭示TPM 2.0并非Windows 11的最低配置要求

    在微软正式宣布了 Windows 11 之后,有关下一代桌面操作系统的最大争议,就集中到了对于可信平台模块(TPM)的强制要求上。尽管这家软件巨头同样提升了处理器等硬件配置的要求、以及在 UEFI BIOS 中开启 Secure Boot 安全启动,但起初只需 TPM 1.2 即可运行的要求,最终还是被抬升到了 TPM 2.0 。但若不是在所有情况下都必须用到的 TPM 2.0,我们实在难以理解微软为何要这么做。微软官方在《Windows 11 最低硬件要求》一文(PDF)?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天