Xshell高级后门完整分析报告

from:https://security.tencent.com/index.php/blog/msg/120

1. 前言

近日,Xshell官方发布公告称其软件中存在后门。我们的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。

后门代码存在于nssock2.dll中,采用了多层加密shellcode、花指令、线程注入等各种方式逃避杀软查杀和对抗人工分析。总体流程如下

2. 详细过程分析

2.1 第一层功能分析

通过BinDiff跟最新版的nssock2.dll比较可以很容易的发现一个解密shellcode的函数

去掉花指令分析,进入到shellcode后主要功能是先查询HKCU\SOFTWARE\%dHKLM\SOFTWARE\%d下的Data值是否存在,%d是把硬盘的序列号异或0xD592FC92

如果Data值存在就用其中的key解密第二层的shellcode并执行,反之就会发送DNS请求获取配置信息存储到Data键再解密第二层的shellcode并执行

获取配置信息时首先通过根据当前年月的DGA(域名生成算法)生成一个域名,其算法如下

然后会根据GUID、主机名和用户名等信息生成一个前缀进行加密与之前生成的域名拼接后发送DNS请求并获取配置信息

加密主要分两步,第一步如下

第二步如下

DNS服务器为8.8.8.88.8.4.44.2.2.14.2.2.2和当前主机的DNS服务器,接收到key后解密第二层shellcode的代码如下

这里非常有意思,算法跟从dll进入第一层shellcode时的解密算法一致,想到CTF的套路尝试设为相同的key,key1为0xC9BED351,key2为0xA85DA1C9,然后就成功解密出了第二层shellcode。

2.2 第二层功能分析

根据卡巴斯基的报告,第二层shellcode为Root插件,入口函数很像DllMain

主要功能是先设置异常处理函数,并会把异常记录到%ALLUSERSPROFILE%\error.log,然后初始化函数指针表(会在其他插件中被调用),并加载5个插件

动态调试步入load_plugin函数就能把5个插件的shellcode dump出来,加载完5个插件后会调用ID为103的插件(Install)的第二个函数

2.3 插件功能分析

2.3.1 Install插件(103)

主要功能是先修改当前进程权限,再调用ID为102的插件(Config)的第二个函数

另外还会用winlogon.exe进程的权限创建svchost.exe进程进行线程注入,调试线程注入的shellcode可以先在VirtualAllocEx后下断获取到相应进程中的虚拟地址,然后在ResumeThread时下断,中断后附加相应进程并在之前获取的虚拟地址处下断,执行ResumeThread后会在之前的虚拟地址处中断,之后就可以继续调试了,初步分析注入的shellcode就是Root插件

根据磁盘序列号创建互斥体:Global\% 16-48 random latin characters%

2.3.2 Plugins插件(101)

主要功能是监听根据磁盘序列号生成的注册表项HKLMHKCU\SOFTWARE\Microsoft\%5-12 random characters%

监听到有值改变后会解密并校验是否是合法的插件并加载和初始化

2.3.3 Config插件(102)

此插件主要是跟配置信息的读写相关,其路径根据磁盘序列号生成,本机是C:\ProgramData\MQGOMQQ\TOYMWGMQ\UMGSAIE\DIWEYK,在每次初始化插件时都会被重写

默认的C&C地址是dns://www.notped.com

2.3.4 Online插件(104)

此插件主要是跟C&C服务器通信并把命令分发到相应的插件执行,首先根据协议类型选择发送请求的插件

如果是URL就会向根据年月的DGA生成的域名发送HTTP请求来得到真正的C&C服务器地址

另外此插件也会收集更详细的主机信息,依次调用GetSystemTimegethostbynameGlobalMemroryStatusExGetNativeSystemInfoGetDiskFreeSpaceExAEnumDisplaySettingsWGetSystemDefaultLCIDQueryPerformanceFrequencyQueryPerformanceCounterGetCurrentProcessIdRtlGetVersionGetSystemMetricsGetNetworkParamsGetAccountSid

2.3.5 DNS插件(203)

此插件主要是用于基于DNS协议的C&C通信

3. 总结

此后门用了多种手段来增加分析难度,是一个基于插件的完善的攻击平台,请尽快升级到最新版本。以上分析如有谬误之处,欢迎斧正。

4. 附录

4.1 shellcode字符串解密脚本

  1. from idaapi import *
  2. from ctypes import *
  3. addr = 0x274DFC8
  4. seed = c_uint(Byte(addr) | (Byte(addr + 1) << 8))
  5. result = [None] * 4096
  6. for i in range(4090):
  7. result[i] = chr((seed.value & 0xff) ^ Byte(addr + 2 + i))
  8. seed = c_uint(c_uint(c_uint(0x41120000 * seed.value).value - c_uint(0x434CBEEE * (seed.value >> 16)).value).value - 0x2F878E0F)
  9. end = result.index('\x00')
  10. print ''.join(result[:end])

4.2 IOC相关域名

域名 日期
ribotqtonut.com 2017年7月
nylalobghyhirgh.com 2017年8月
jkvmdmjyfcvkf.com 2017年9月
bafyvoruzgjitwr.com 2017年10月
xmponmzmxkxkh.com 2017年11月
notped.com 默认C&C域名

5. 参考

  1. https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
  2. https://cdn.securelist.com/files/2017/08/ShadowPad_technical_description_PDF.pdf

Xshell高级后门完整分析报告的更多相关文章

  1. Xshell高级后门完整分析报告(ZT)

    1. 前言 近日,Xshell官方发布公告称其软件中存在后门.我们的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马. 后门代码存在于nssock2.dl ...

  2. chrome调试工具高级不完整使用指南(优化篇)

    上一篇文章我们说了chrome调试工具的一些比较基础功能的用法,接下来我们要在这一篇文章中说一说,其他一些chrome调试工具的使用方法 2.1.5 Network模块 在netWork模块中,大致上 ...

  3. 《2018年云上挖矿态势分析报告》发布,非Web类应用安全风险需重点关注

    近日,阿里云安全团队发布了<2018年云上挖矿分析报告>.该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议. 报告指出,尽管加密货 ...

  4. 《奥威Power-BI智能分析报告制作方法 》精彩回顾

     上次课我们简单介绍了奥威Power-BI的智能分析报告,并展示了报告与图表相结合的应用场景.图文分析报表的意义不只在于美观,更重要的是固定框架下的灵活性和追根究底的动态分析,有着很强的实用性.上节课 ...

  5. 12月07日《奥威Power-BI智能分析报告制作方法 》腾讯课堂开课啦

            前几天跟我一个做报表的哥们聊天,听着他一茬一茬地诉苦:“每天做报表做到想吐,老板看报表时还是不给一个好脸色.”我也只能搬出那一套“过程大于结果”的内心疗程赠与他,没想到他反而怒了:“做 ...

  6. M1事后分析报告(Postmortem Report)

    M1事后分析报告(Postmortem Report) 设想和目标 1. 我们的软件要解决什么问题?是否定义得很清楚?是否对典型用户和典型场景有清晰的描述? 我们项目组所开发的软件为一个基于Andro ...

  7. chrome调试工具高级不完整使用指南(基础篇)

    一.前言 本文记录的是作者在工作上面对chrome的一些使用和情况的分析分享,内容仅代表个人的观点.转发请注明出处(http://www.cnblogs.com/st-leslie/),谢谢合作 二. ...

  8. chrome调试工具高级不完整使用指南(实战一)

    三.chrome调试工具实战 3.1 获取界面对应的HTML和修改样式 我们以博客园为例子来分析. 通过上面的操作就可以定位到对应的HTML代码 左侧菜单显示的就是当前指定元素层叠样式的一个情况 上面 ...

  9. chrome调试工具高级不完整使用指南(实战二)

    3.3 给页面添加测试脚本 在现实的工作中,我们往往会遇到一些问题在线上就会触发然后本地就触发不了的问题.或者是,要给某个元素写一个测试脚本.这个时候如果是浏览器有提供一个添加脚本的功能的话,那么我们 ...

随机推荐

  1. 洛谷 P3912 素数个数

    P3912 素数个数 题目描述 求1,2,\cdots,N1,2,⋯,N 中素数的个数. 输入输出格式 输入格式: 1 个整数NN. 输出格式: 1 个整数,表示素数的个数. 输入输出样例 输入样例# ...

  2. HDU 3625

    有点置换群的味道. 当撞开一个门后,能打开一连串的门,即是可以排成一个圈.求的是种数,于是,可以使用第一类斯特林数,求出撞了0~K次的种数. 但是,注意,当第一个门为独自一个圈时,是不可行的,因为这代 ...

  3. OS 中文斜体 Italic Font Chinese - iOS_Girl

    CGAffineTransform matrix =  CGAffineTransformMake(1, 0, tanf(15 * (CGFloat)M_PI / 180), 1, 0, 0); UI ...

  4. 百度地图 key申请以及基础地图的演示

    之前做过一个拼车的项目,用到了百度地图,如今做电商项目,也遇到了要使用地图,可是刚来这公司不久项目不是自己做的,今天一个同事说定位那边有点问题,所以如今不忙,好好搞下地图,为了以后业务扩展或者出现故障 ...

  5. JavaFX学习之道:JavaFX之TableView

    TableView表     TableColumn列  构建一个表主要有TableView,TableColumn,ObservableList,Bean.  加入列table.getColumns ...

  6. OSGI项目中获取文件路径

    假设想依据给定的文件名创建一个File实例,你可能会这么写: File file = new File(当前类.class.getResource("config").toURI( ...

  7. Web前端国际化之jQuery.i18n.properties

    Web前端国际化之jQuery.i18n.properties jQuery.i18n.properties介绍 国际化是如今Web应用程序开发过程中的重要一环,jQuery.i18n.propert ...

  8. 实战c++中的vector系列--再谈vector的insert()方法(都是make_move_iterator惹的祸)

    之前说过了关于vector的insert()方法,把vector B的元素插入到vector A中.vector A中的结果我们可想而知,可是vector B中的元素还会怎样? 看看之前写过的程序: ...

  9. Linux下iscsi的使用

    查看是否已安装了iscsi-initiator:  [root@test\ ~]# rpm -qa |grep iscsi iscsi-initiator-utils-6.2.0.868-0.18.e ...

  10. JavaScript原型链:prototype与__proto__

    title: 'JavaScript原型链:prototype与__proto__' toc: false date: 2018-09-04 11:16:54 主要看了这一篇,讲解的很清晰,最主要的一 ...