近日,非常流行的远程终端Xshell被发现被植入了后门代码,用户如果使用了特洛伊化的Xshell工具版本会导致本机相关的敏感信息被泄露到攻击者所控制的机器。
Xshell特别是Build 1322版本在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,我们强烈建议用户检查自己所使用的Xshell版本,如发现,建议采取必要的补救措施。
360安全监测与响应中心将持续关注该事件进展,并第一时间为您更新该事件信息。
事件信息
Xshell特别是Build 1322版本在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,目前已经确认使用了特洛伊化的Xshell的用户机器相关基本信息会被发送出去,但到目前为止还没有看到Xshell所管理的系统的账号信息被窃取并外发。
受影响范围:
Xshell 5.0 Build 1322
Xshell 5.0 Build 1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
风险等级
360安全监测与响应中心风险评级为:高级
预警等级:黄色预警(较大网络安全事件)
处置建议
检查目前所使用的Xshell版本是否为受影响版本,如果组织保存有网络访问日志,检查所在网络是否存在对于下节IOC域名的解析记录,如发现,则有内网机器在使用存在后门的Xshell版本。
目前厂商已经在Xshell Build 1326及以后的版本中处理了这个问题,请升级到最新版本,修改相关系统的用户名口令。
厂商修复过的版本如下:
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
软件下载地址:
https://www.netsarang.com/download/software.html
解决方案
检测工具
360天眼未知威胁感知系统的检测方案
天眼的流量探针已经第一时间加入了针对XSHELL后门的检测,对应规则ID:0x4e41,请尽快将规则升级到3.0.0814.10513及以上版本。
升级方法:选择 系统配置->设备升级->规则升级,进行在线或离线升级。
天眼临检版(魔镜)可以通过打上最新的升级包进行检测,升级包版本号:3.0.5.1.M1.2。
另外,可以通过天眼分析平台或NGSOC的日志检索功能对IOC域名进行检索,来确定历史上是否有感染过的主机。
根域名IOC:
6月份:vwrcbohspufip.com
7月份:ribotqtonut.com
8月份:nylalobghyhirgh.com
9月份:jkvmdmjyfcvkf.com
10月份:bafyvoruzgjitwr.com
11月份:xmponmzmxkxkh.com
12月份:tczafklirkl.com
防护工具
360企业安全终端安全一体化管理系统天擎
天擎版本需要升级到V6R3及以上版本并搭配部署企业软件管家V1.0.6.208及以上版本。
评估受影响的终端范围
(1) 登录天擎控制台,打开终端管理---软件管家—按软件显示(需要配合硬件软件管家)
(2) 分别搜索Xshell、Xftp等受影响的软件,下图以Xshell为例说明。
(3) 在软件名称列表中点击Xshell,从受影响的版本(5.0.1322)中的“已安装”列中可查看到受影响的终端数量,点击数量可以查看到具体的终端列表。
将受影响终端的XShell升级到已经修复了后门的5.0.1326版本
(1) 登录企业软件管家系统,确定软件管家已经升级到V1.0.6.208以上版本,查看Xshell版本信息,确认Xshell版本已经是5.0.1326,如图:
(2) 返回天擎-软件管家-按软件显示,搜索xshell,找到xshell在全网的软件版本分布,找到xshell5.0.1322版本,点击Xshell 5.0.1322版本右边的升级箭头,对安装xshell5.0.1322的终端用户下发升级任务,终端即可将该软件升级到最新版本。
360天擎同时也支持查杀带后门的nssock2.dll程序
360防火墙
360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对上述相关后门的封堵。建议用户尽快将IPS特征库升级至“1708141417”版本并启用对威胁ID:60082的安全策略。
360新一代智慧防火墙配置截图:
下一代极速防火墙配置截图:
评论
直达楼层