首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >预警 | Xshell、Xmanager、Xftp等远程管理产品源码被植入后门

预警 | Xshell、Xmanager、Xftp等远程管理产品源码被植入后门

作者头像
安恒信息
发布2018-04-10 11:35:08
2.4K0
发布2018-04-10 11:35:08
举报
文章被收录于专栏:安恒信息安恒信息

Xmanager、Xshell、Xftp为NetSarang公司开发,主要应用于访问和管理远程服务器。

NetSarang公司在8月7日发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd等软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。

据分析,Xmanager、Xshell、Xftp等软件下的“nssock2.dll”模块源码被植入后门。(nssock2.dll 为Xmanager、Xshell、Xftp等软件使用的动态链接库文件)。“nssock2.dll”带有官方数字签名,猜测可能是攻击者窃取了NetSarang的签名,或者直接在源码层面进行了植入,也不排除有内部人员对上述代码做了篡改。

▲ 从样本中发现可疑控制域名

▲ 通过抓包发现的程序在请求可疑控制域名的DNS请求

影响版本

nssock2.dll: 5.0.0.26

影响软件

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322/1325

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

由于官网只提供最新版本下载,具体受影响的版本只能从非官网下载站获取,暂时无法判断具体所有受影响版本,可以参考如下方法检查是否受影响。

检查方式

找到软件安装目录,找到“nssock2.dll”文件,右键查看属性,查看文件版本是否是5.0.0.26,如果是可能存在后门。

解决方案

1.卸载软件

2.升级到最新版本,升级地址:https://www.netsarang.com/download/software.html

- END -

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-08-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档