NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

原文地址：http://blog.nsfocus.net/nssock2-dll-module-malicious-code-analysis-report/

NetSarang是一家提供安全连接解决方案的公司，该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露，甚至可能远程执行代码。

Virustotal在线检测情况：

由分析结果可以知道，nssock2.dll已经被多家杀毒软件识别为恶意的程序，

相关地址：

https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

https://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection

受影响的版本

• Xshell Build 1322
• Xshell Build 1325
• Xmanager Enterprise Build 1232
• Xmanager Build 1045
• Xmanager Build 1048
• Xftp Build 1218
• Xftp Build 1221
• Xlpd Build 1220

不受影响的版本

• Xmanager Enterprise Build 1236
• Xmanager Build 1049
• Xshell Build 1326
• Xftp Build 1222
• Xlpd Build 1224

软件下载情况

存在后门的软件在国内的下载情况：

• Xmanager：

• Xshell：

技术分析

概述

NetSarang的主要软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码。据悉，是黑客渗透到了开发的机器，然后在代码中加入了恶意的代码到官方的源代码中，以下为恶意代码分析。

参考：https://www.virustotal.com/#/user/jumze/comments

传播与感染

用户直接下载或软件捆绑下载。

样本分析

分析环境

系统	Windows 7, 32bit
使用工具	ProcessMonitor, Xuetr, Wireshark, OllyDBG, IDA, CuteFTP

TAC检测结果：

图 TAC检测结果

防护方案

用户自查

用户可通过查看nssock2.dll的版本来确定是否受此影响：

在软件安装目录下找到nssock2.dll文件，右键该文件查看属性，如果版本号为5.0.0.26则存在后门代码：

官方解决方案

用户可通过查看的nssock2.dll的版本号的方法来确定是否使用含有后门的软件版本，如果用户正在使用以上受影响的软件版本，请升级到最新版本。官方在最新的软件版本中已经移除了该后门代码，最新的软件版本分别为：

• Xmanager Enterprise Build 1236
• Xmanager Build 1049,
• Xshell Build 1326
• Xftp Build 1222
• Xlpd Build 1224.

官方下载地址如下：

https://www.netsarang.com/download/software.html