Xshell是一款强大,著名的终端模拟软件，被广泛的用于服务器运维和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射，用户定义按钮，VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

日前，获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中，发布的nssock2.dll模块中存在恶意代码，在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:

危害等级

           [+]严重

影响版本

根据NetSarang 8月7日 的安全公告(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html)

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1325

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

均受到影响

简要分析

通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。

该域名开启了隐私保护，且只能查询到NS记录:

此外，该域名还会向多个超长域名做渗出，且域名采用了DGA生成算法，通过DNS解析时渗出数据。

部分生成域名如下：

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

通过逆向分析shellcode，我们还原了箱子域名的生成方式，其行为通过DGA算法每月生成一个域名并做解析:

还原后的2017年整个DGA域名为：

1月域名:tgpupqtylejgb.com

2月域名:psdghsbujex.com

3月域名:lenszqjmdilgdoz.com

4月域名:huxerorebmzir.com

5月域名:dghqjqzavqn.com

6月域名:vwrcbohspufip.com

7月域名:ribotqtonut.com

8月域名:nylalobghyhirgh.com

9月域名:jkvmdmjyfcvkf.com

10月域名:bafyvoruzgjitwr.com

11月域名:xmponmzmxkxkh.com

12月域名:tczafklirkl.com

对12个域名分析NS解析情况后发现，从7月开始才被注册解析到qhoster.net的NS Server上，所以我们猜测这个恶意代码事件至少是从7月开始的。

修复方案

NetSarang官方已经在Xmanager Enterprise Build 1236，Xmanager Build 1049，Xshell Build 1326，Xftp Build 1222和Xlpd Build 1224 这几个最新的Builds版本中修复了该问题。

我们建议受影响的用户，及时更新最新版本。

最新Builds下载地址: https://www.netsarang.com/download/software.html

安全公告: https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

IOC

结论

通过第一时间分析，已经确认了该问题的存在，且官方也针对该问题发布了公告，恶意代码具体行为和细节将在分析完成后第一时间预警公告。