【安全预警】流行远程终端管理工具Xshell被植入后门代码

近日，非常流行的远程终端Xshell被发现被植入了后门代码，用户如果使用了特洛伊化的Xshell工具版本会导致本机相关的敏感信息被泄露到攻击者所控制的机器。

Xshell特别是Build 1322版本在国内的使用面很大，敏感信息的泄露可能导致巨大的安全风险，我们强烈建议用户检查自己所使用的Xshell版本，如发现，建议采取必要的补救措施。

360安全监测与响应中心将持续关注该事件进展，并第一时间为您更新该事件信息。

事件信息

Xshell特别是Build 1322版本在国内的使用面很大，敏感信息的泄露可能导致巨大的安全风险，目前已经确认使用了特洛伊化的Xshell的用户机器相关基本信息会被发送出去，但到目前为止还没有看到Xshell所管理的系统的账号信息被窃取并外发。

受影响范围：

Xshell 5.0 Build 1322

Xshell 5.0 Build 1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

风险等级

360安全监测与响应中心风险评级为：高级

预警等级：黄色预警（较大网络安全事件）

处置建议

检查目前所使用的Xshell版本是否为受影响版本，如果组织保存有网络访问日志，检查所在网络是否存在对于下节IOC域名的解析记录，如发现，则有内网机器在使用存在后门的Xshell版本。

目前厂商已经在Xshell Build 1326及以后的版本中处理了这个问题，请升级到最新版本，修改相关系统的用户名口令。

厂商修复过的版本如下：

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

软件下载地址：

https://www.netsarang.com/download/software.html

解决方案

检测工具

360天眼未知威胁感知系统的检测方案

天眼的流量探针已经第一时间加入了针对XSHELL后门的检测，对应规则ID：0x4e41，请尽快将规则升级到3.0.0814.10513及以上版本。

升级方法：选择系统配置->设备升级->规则升级，进行在线或离线升级。

天眼临检版（魔镜）可以通过打上最新的升级包进行检测，升级包版本号：3.0.5.1.M1.2。

另外，可以通过天眼分析平台或NGSOC的日志检索功能对IOC域名进行检索，来确定历史上是否有感染过的主机。

根域名IOC：

6月份：vwrcbohspufip.com

7月份：ribotqtonut.com

8月份：nylalobghyhirgh.com

9月份：jkvmdmjyfcvkf.com

10月份：bafyvoruzgjitwr.com

11月份：xmponmzmxkxkh.com

12月份：tczafklirkl.com

防护工具

360企业安全终端安全一体化管理系统天擎

天擎版本需要升级到V6R3及以上版本并搭配部署企业软件管家V1.0.6.208及以上版本。

评估受影响的终端范围

(1) 登录天擎控制台，打开终端管理---软件管家—按软件显示（需要配合硬件软件管家）

(2) 分别搜索Xshell、Xftp等受影响的软件，下图以Xshell为例说明。

(3) 在软件名称列表中点击Xshell，从受影响的版本（5.0.1322）中的“已安装”列中可查看到受影响的终端数量，点击数量可以查看到具体的终端列表。

将受影响终端的XShell升级到已经修复了后门的5.0.1326版本

(1) 登录企业软件管家系统，确定软件管家已经升级到V1.0.6.208以上版本，查看Xshell版本信息，确认Xshell版本已经是5.0.1326，如图：

(2) 返回天擎-软件管家-按软件显示，搜索xshell，找到xshell在全网的软件版本分布，找到xshell5.0.1322版本，点击Xshell 5.0.1322版本右边的升级箭头，对安装xshell5.0.1322的终端用户下发升级任务，终端即可将该软件升级到最新版本。

360天擎同时也支持查杀带后门的nssock2.dll程序

360防火墙

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对上述相关后门的封堵。建议用户尽快将IPS特征库升级至“1708141417”版本并启用对威胁ID:60082的安全策略。

360新一代智慧防火墙配置截图：