案件追踪丨Xshell后门无处遁形
发布时间:2017-09-11   作者:启明星辰

Xshell,xftp等优秀免费软件是程序大牛、运维大拿们常用的网络管理、安全传输的工具。8月7日,Xshell开发公司NetSarang发布安全公告:Xshell 在7月18日发布的5.0 Build 1322官方版本存在安全漏洞,nssock2.dll模块源码被植入后门。

 

鉴于此次后门可能导致用户信息泄露,泰合流安全团队及时在某内网A项目和某外网B项目的NBA(启明星辰泰合流量分析)平台上创建“Xshell后门”分析规则,对dns信息中的“请求域名”字段与已定义的恶意域名nylalobghyhirgh.com进行匹配。在8月15日发现了A项目的Xshell后门告警,在8月22日发现了B项目上的Xshell后门踪迹。
 

★ 8月15日A项目的Xshell后门活动轨迹追踪:

 

1) 通过NBA设备,可查看到多次告警,且每次告警都报送了多次。

 


2) 对其中一条,如9点34分的告警展开后,可看到每次告警的具体时间。

 

 

3) 选取其中一条告警进行追溯,可以看到域名查询操作记录为包含域名IOC的超长域名,此为后门软件利用DNS-Tunning隧道技术进行信息泄露。

 


 
4) 对此告警信息继续下钻后,可追溯到具体的流量数据,点击下载pcap包,可看到触发此告警的原始报文。

 

 
5) 通过IP以及MAC地址的追溯,追踪到使用Xshell的研发人员,经查看Xshell版本,确实为官方公告中有nssock2.dll漏洞的版本5.0.0026。

 


 

 
A项目快速定位经验总结:
A项目从发现告警到定位到问题主机仅仅几分钟,之所以能迅速定位到问题主机,一方面得益于威胁情报的准确性,另一方面在于部署在内网的流量分析产品使用DPI技术获取到DNS关键域名信息,通过抓取到的原始报文包中的MAC地址和IP地址准确定位问题主机。
 

★ 8月22日B项目的Xshell后门追踪溯源:
 
■ 10.19.A.B到218.104.111.114告警追踪


 


1) 经运维人员排查,10.19.A.B上未发现Xshell软件,可是带有8月份恶意域名访问的报文就在眼前,这是怎么回事呢?

 

2) 通过NBA设备查看 10.19.A.B的流量会话以及统计应用协议情况,发现告警发生时间的会话为:目的地址为218.104.111.114,目的端口为53,而218.104.111.114是联通运营商的DNS服务器,并且在进一步的流量梳理中发现,10.19.A.B是与联通DNS服务器交互量第二的主机,后经系统组确认10.19.A.B是内网的DNS服务器,而此次告警是此内网DNS服务器采用转发模式向上一级DNS服务器请求本地无法解析的域名而被触发的。


 

 

 


3) 那么在2017年8月22日18:20这个时间,哪个IP向此内网DNS服务器发送了DNS域名解析请求呢?由于SOC部署在汇聚交换层,故通过现场已部署的SOC平台查询此台机器的DNS日志,定位到对应告警时间的DNS访问记录的IP为121.43.C.D,并与DNS服务器上面的数据进行了核对,定位到了问题主机。


 


■ 10.19.A.B到218.104.111.114告警追踪


 


安全分析人员对192.168.E.F到4.2.2.1的访问进行Xshell后门验证,经验证192.168.E.F为接入路由器,而几台作开发运维用途的电脑通过此路由器接入XX网防火墙进行运维。由于做了NAT,未监测到私有IP地址,NBA设备抓到的是运维PC经NAT转换后的流量信息。后经证实,运维PC中存在一台机器运行5.0.0.26版本的Xshell,通过客户的配合将此台机器的Xshell进行了卸载和重新安装。


 
B项目追踪总结:经过现场运维人员的配合,同时结合详细的告警信息,两个告警都定位到了具体的主机。启明星辰流量分析产品NBA部署在核心交换机旁路,由于跨网段,跨防火墙的流量涉及到转IP地址转换、端口转换,导致在追踪定位过程中对精细化管理的要求更高。
 

★ 关于启明星辰泰合流量分析产品NBA

 

作为一款网络流量分析产品,大数据版NBA支持流量镜像或FLOW方式接入,独创VFLOW技术,梳理网络现状,实时记录网络访问拓扑,审计流量使用情况;通过联动威胁情报、内置静态特征指纹、自学习行为基线、匹配关联分析规则进行流量行为分析与告警,分析异常事件的影响范围,回溯完整的攻击链。对于网络安全建设来说是不可或缺的一环,可极大的增强积极防御能力。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号